3.1 IDA Pro編寫IDC指令碼入門

lyshark發表於2023-11-11

IDA Pro內建的IDC指令碼語言是一種靈活的、C語言風格的指令碼語言，旨在幫助逆向工程師更輕鬆地進行反彙編和靜態分析。IDC指令碼語言支援變數、表示式、迴圈、分支、函式等C語言中的常見語法結構，並且還提供了許多特定於反彙編和靜態分析的函式和運算子。由於其靈活性和可擴充套件性，許多逆向工程師都喜歡使用IDC指令碼語言來自動化反彙編和靜態分析過程，以提高效率和準確性。

在IDA中如果讀者按下Shift + F2則可調出指令碼編輯器，如下圖所示，其中左側代表當前指令碼的名稱列表，右側則代表指令碼的具體實現細節，底部存在三個選單，第一個按鈕是執行指令碼，第二個按鈕是覆蓋匯入指令碼，第三個則是追加匯入，他們之間的功能個有不同，讀者可自行體會；

3.1.1 IF語句的構建

IF語句的使用非常容易，如下程式碼，透過ScreenEA()函式識別到當前游標所在位置處的指令記憶體地址，並對比該記憶體地址是否符合特定的條件，如果符合則輸出，不符合則最終輸出沒有找到；

#include <idc.idc>

static main()
{
    auto CurrAddress = ScreenEA(); 
    if(CurrAddress == 0x0046E31A)
    {
       Message("程式OEP => 0x%x \n",CurrAddress);
    }
    else if(CurrAddress == 0x0046E331)
    {
       Message("程式OEP => 0x%x \n",CurrAddress);
    }
    else
    {
      Message("沒有扎到OEP \n");
    }
}

3.1.2 FOR語句的構建

與C語言格式幾乎一致，For語句的構建也很容易理解，首先程式透過GetFunctionAttr()函式並設定FUNCATTR_START屬性獲取到當前游標所指向程式段的開始地址，透過FUNCATTR_END設定游標的結束位置，最後呼叫For迴圈，一次輸出當前記憶體地址及下一個記憶體地址，直到將本段內容全部輸出為止；

#include <idc.idc>

static main()
{
    auto origEA,currEA,funcStart,funcEnd;
    origEA = ScreenEA();
    
    // origEA = OEP 如果origEA 不在函式內則返回-1
    funcStart = GetFunctionAttr(origEA,FUNCATTR_START);
    funcEnd = GetFunctionAttr(origEA,FUNCATTR_END);
    Message("OEP: %x 起始地址: %x --> 結束地址: %x \n",origEA,funcStart,funcEnd);
    
    // NextHead 在currEA開始的位置尋找下一條指令的地址
    for(currEA = funcStart; currEA != -1; currEA=NextHead(currEA,funcEnd))
    {
        Message("指令地址：%8x \n",currEA);
    }
}

3.1.3 WHILE語句的構建

該語句的構建與FOR語句基本一致，與FOR語句唯一的不同在於該語句只能接受一個引數，如下程式碼中讀者需要注意GetFunctionName()可用於獲取當前游標所在位置處所屬函式的名稱。

#include <idc.idc>

static main()
{
    auto origEA,currEA,funcStart,funcEnd;
    origEA = ScreenEA();

    // origEA = OEP 如果origEA 不在函式內則返回-1
    funcStart = GetFunctionAttr(origEA,FUNCATTR_START);
    funcEnd = GetFunctionAttr(origEA,FUNCATTR_END);
    Message("OEP: %x 起始地址: %x --> 結束地址: %x \n",origEA,funcStart,funcEnd);
    
    while(currEA != BADADDR)
    {
        Message("--> %x name: %s \n",currEA,GetFunctionName(currEA));
        currEA = NextHead(currEA,funcEnd);
    }
}

3.1.4 函式的實現

IDA中使用函式通常可在一個字串之前定義為static，函式的引數列表一般而言是以逗號進行間隔開的，當函式存在返回值是則透過return語句返回。

#include <idc.idc>

// 定義一個函式
static OutPutAddress(MyString)
{
    auto currAddress;
    currAddress = ScreenEA();
    Message("%d \n",MyString);
    return currAddress;
}

// 傳遞多個引數
static OutPutAddressB(x,y)
{
    return x+y;
}

static main()
{
    auto ret = OutPutAddress(123);
    Message("返回當前地址 = 0x%x \n",ret);
    
    auto ref = OutPutAddressB(100,200);
    Message("計算數值 = %d \n",ref);
    
}

3.1.5 定義並使用陣列

與高階語言類似，IDC指令碼中同樣支援陣列操作，不同於C語言中的陣列，IDC中在使用時首先需要透過CreateArray("array")建立一個陣列，當陣列指標被建立成功後下一步則是透過GetArrayId("array")得到該陣列的指標，透過指標讀者可以使用SetArrayString設定一個字串變數，或使用SetArrayLong設定整數變數，當使用者需要使用變數時則需要透過GetArrayElement()函式對陣列內的資料進行提取，提取時AR_STR代表提取字串，AR_LONG則代表提取整數型別，當讀者需要刪除陣列內的特定元素可使用DelArrayElement()函式，最後使用結束呼叫DeleteArray()登出整個陣列；

#include <idc.idc>

static main()
{
    // 建立陣列元素
    auto array_ptr = CreateArray("array");
    // 獲取陣列指標
    auto ptr = GetArrayId("array");
    
    Message("獲取到的操作指標: %x \n",ptr);
    
    // 設定兩個字串變數
    SetArrayString(ptr,0,"hello");
    SetArrayString(ptr,1,"lyshark");
    
    // 設定兩個整數變數
    SetArrayLong(ptr,2,100);
    SetArrayLong(ptr,3,200);
    
    // 如果提取字串使用 AR_STR 標記 ，提取整數使用 AR_LONG
    auto st = GetArrayElement(AR_STR,ptr,0);
    auto st1 = GetArrayElement(AR_STR,ptr,1);
    Message("提取字串變數: %s %s !\n",st,st1);
    
    auto lo = GetArrayElement(AR_LONG,ptr,2);
    Message("提取整數變數: %d \n",lo);
    
    // 刪除陣列的0號元素
    DelArrayElement(AR_STR,ptr,0);
    // 登出整個陣列
    DeleteArray(ptr);
}

3.1.6 字串處理

IDC中讀者可以使用form()函式實現對特定字串的格式化輸出操作，IDC中同樣也內建了各類轉換函式，如下程式碼所示，則是IDC中可以經常被用到的函式呼叫，讀者可自行參考；

#include <idc.idc>

static main()
{
    // 格式化字串,類似於sprintf
    auto name = form("hello %s","lyshark");
    Message("格式化後的內容: %s \n",name);
    
    Message("十六進位制轉為整數: %d \n",xtol("0x41"));
    Message("十進位制100轉為八進位制: %d \n",ltoa(100,8));
    Message("十進位制100轉換二進位制: %d \n",ltoa(100,2));
    Message("字元A的ASCII: %d \n",ord("A"));
    Message("計算字串長度: %d \n",strlen("hello lyshark"));
    
    // 在主字串中尋找子串
    auto main = "hello lyshark";
    auto sub = "lyshark";
    Message("尋找子串: %d \n",strstr(main,sub));
}

3.1.7 列舉所有函式

如下指令碼實現了列舉當前指標所在位置處所有函式名稱及地址，首先透過ScreenEA()函式獲取當前指標所在位置，透過SegStart()用於獲取該指標所在位置處模組的開始地址，與之對應的是SegEnd();則用於獲取結束地址，接著透過呼叫GetFunctionName();得到當前地址處的函式名，並依次透過NextFunction();得到下一個模組地址，最終輸出所有函式名及其地址資訊；

#include <idc.idc>

static main()
{
    auto currAddr,func,endSeg,funcName,counter;
    
    currAddr = ScreenEA();
    func = SegStart(currAddr);
    endSeg = SegEnd(currAddr);
    Message("%x --> %x \n",func,endSeg);
    
    counter = 0;
    while(func != BADADDR && func < endSeg)
    {
        funcName = GetFunctionName(func);
        if(funcName != " ")
        {
            Message("%x --> %s \n",func,funcName);
            counter++;
        }
        func = NextFunction(func);
    }
}

當然讀者可以透過增加IF語句來判斷funcName函式名是否是我們所需要列舉的，如果是則輸出，如果不是則繼續下一個函式，依次類推實現函式列舉功能，讀者只需要在上述程式碼基礎上稍加改進即可實現；

#include <idc.idc>

static main()
{
    auto currAddr,func,endSeg,funcName,counter;
    
    currAddr = ScreenEA();
    func = SegStart(currAddr);
    endSeg = SegEnd(currAddr);
    Message("%x --> %x \n",func,endSeg);
    counter = 0;
    
    while(func != BADADDR && func < endSeg)
    {
        funcName = GetFunctionName(func);
        if(funcName != " ")
        {
            if(funcName == "__lock")
            {
                Message("%x --> %s \n",func,funcName);
            }
            counter++;
        }
        func = NextFunction(func);
    }
}

3.1.8 設定記憶體區域標籤高亮

標籤高亮功能的實現依賴於SetColor函式，該函式傳入三個引數，其中引數1用於指定需要檢索的範圍，該範圍可以透過NextHead()函式獲取到，只要該節點不會返回BADADDR則可以繼續遍歷下一個節點，第二個引數則代表標註型別，第三個引數代表要在那個位置進行標註；

#include <idc.idc>

static main(void)
{
    auto head, op;
    head = NextHead(0x00000000, 0xFFFFFFFF);
    while ( head != BADADDR )
    {
        op = GetMnem(head);
        Message("%x %s \n",head,op);

        
        if ( op == "jmp" || op == "call" )
            SetColor(head, CIC_ITEM, 0x010187);
            
        if (op == "xor")
            SetColor(head, CIC_ITEM, 0x010198);
        head = NextHead(head, 0xFFFFFFFF);
    }
}

3.1.9 地址反彙編輸出

在IDA中有時我們需要對特定位置進行反彙編，並以指令碼的方式輸出，此時讀者可使用GetDisasm(inst)函式來實現，該函式傳入一個RfirstB生成的迭代型別，並依次迴圈輸出，直到對100行輸出為止；

#include <idc.idc>

static main(void)
{
    auto decode = 0x401000;
    auto xref;
    
    for(xref = RfirstB(decode); xref != BADADDR; xref = RnextB(decode,xref))
    {
        Message("xref: %x\n",xref);
        auto i = 0;
        auto inst = xref;
        auto op;
        
       while((i < 100) )
       {
            // 向後列舉下一個
            inst = FindCode(inst,0x00);
        
            // 輸出反彙編
            op = GetDisasm(inst);
            Message("%x --> %s \n",inst,op);
            i++;
       }
    } 
}

當具備了反彙編功能後，那麼讀者則可透過各種方式實現對指令集的判斷，並以此來實現過濾特定指令地址並輸出的目的，如下所示，透過strstr()函式對符合特定條件的字串進行過濾，當找到後返回該函式的所在位置；

#include <idc.idc>

static main()
{
    auto currAddr,startSeg,endSeg;
    
    currAddr = ScreenEA();
    startSeg = SegStart(currAddr);
    endSeg = SegEnd(currAddr);
    
    Message("OEP = %x 起始地址: %x 結束地址: %x \n",currAddr,startSeg,endSeg);
    
    while(startSeg < endSeg)
    {
        auto op = GetDisasm(startSeg);
        
        // 查詢第一條指令
        if(strstr(op,"push    esi")==0)
        {
            startSeg++;
            op = GetDisasm(startSeg);
            if(strstr(op,"push    edi"))
            {
                Message("特徵: %x \n",startSeg-1);
            }
        }
        startSeg++;
    }
}

當然反彙編函式並非只有GetDisasm讀者同樣可以使用GetMnem返回位於特定地址處的指令，GetOpnd用於返回特定位置處的機器碼，同樣可以使用FindBinary實現對特定地址的特徵碼搜尋功能；

#include <idc.idc>

static main()
{
    // 搜尋特徵碼
    auto code = FindBinary(0x401020,1,"55 8B EC");
    Message("%x \n",code);

    // 返回反彙編程式碼
    code = GetDisasm(0x401000);
    Message("%s \n",code);
    
    // 返回位於地址處的指令
    code = GetMnem(0x401000);
    Message("%s \n",code);
    
    // 返回opcode機器碼
    code = GetOpnd(0x401070,0);
    Message("%s \n",code);
}

3.1.10 列舉函式棧幀

生成每個函式的棧幀，透過NextFunction()函式可實現列舉當前模組內所有函式地址，透過迴圈並呼叫GetFram()來得到當前函式棧幀大小，並使用GetMemberOffset()儲存棧中返回地址偏移量，依次迴圈輸出當前函式內的完整棧幀資料；

#include <idc.idc>

static main()
{
    auto addr,args,end,locals,frame,firstArg,name,ret;
    
    for(addr = NextFunction(addr); addr != BADADDR; addr = NextFunction(addr))
    {
        name = Name(addr);
        end = GetFunctionAttr(addr,FUNCATTR_END);
        locals = GetFunctionAttr(addr,FUNCATTR_FRSIZE);
        
        // 得到棧幀大小
        frame = GetFrame(addr);
        
        // 棧中儲存返回地址偏移量
        ret = GetMemberOffset(frame," r");
        if(ret == -1)
        {
            continue;
        }
        
        firstArg = ret +4;
        args = GetStrucSize(frame) - firstArg;
        
        Message("函式: %s 開始: 0x%x 結束: 0x%x 大小: %d bytes 棧幀: %d bytes (%d args) \n",name,addr,end,locals,args,args/4);
    }
}

3.1.11 檢索交叉引用

列舉當前模組中的交叉引用，透過XrefType()函式可列舉出當前被分析程式中的交叉引用情況，如下案例中實現了對當前程式內所有交叉引用的列舉工作，並輸出三個引數，引數1代表主函式，引數2代表被引用函式，引數3代表當前函式的記憶體地址；

#include <idc.idc>

static main()
{
    auto func,end,target,inst,name,flags,xref;
    flags = SEARCH_DOWN | SEARCH_NEXT;
    func = GetFunctionAttr(ScreenEA(),FUNCATTR_START);
    
    if(func != -1)
    {
        name =Name(func);
        end = GetFunctionAttr(func,FUNCATTR_END);
        for(inst = func;inst < end; inst = FindCode(inst,flags))
        {
            for(target = Rfirst(inst);target != BADADDR; target = Rnext(inst,target))
            {
                xref = XrefType();
                if(xref == fl_CN || xref == fl_CF)
                {
                    Message("%s | %s | %x \n",name,Name(target),inst);
                }
            }
        }
    }
}

如果讀者想要實現列舉特定一個函式的交叉引用資訊，則可透過使用LocByName(bad_func)增加過濾條件，並依次實現過濾特定函式的目的，程式碼的修改只需要小改即可；

#include <idc.idc>

static FindFunction(bad_func)
{
    auto func,addr,xref,source;
    
    func = LocByName(bad_func);
    if(func == BADADDR)
    {
        Message("error \n");
    }
    else
    {
        for(addr = RfirstB(func);addr != BADADDR; addr = RnextB(func,addr))
        {
            xref = XrefType();
            if(xref == fl_CN || xref == fl_CF)
            {
                source = GetFunctionName(addr);
                Message("%s call => %0x in %s \n",bad_func,addr,source);
            }
        }
    }  
}

static main()
{
    FindFunction("LoadString");
}

scala入門之編寫scala指令碼
2018-10-26
指令碼
Shell指令碼入門：編寫格式與執行方式
2020-10-22
指令碼
ida pro 7.5反編匯程式
2020-12-18
Gatling入門（二）IDEA+Maven編寫指令碼
2017-05-11
IdeaMaven指令碼
gdb指令碼編寫
2014-06-08
指令碼
Shell 指令碼編寫
2007-10-07
指令碼
IDA Pro for Mac(最強反彙編工具)
2022-08-06
Mac
IDA Pro for Mac 靜態反編譯軟體
2022-06-18
Mac編譯
IDA Pro for Mac(靜態反編譯軟體)
2022-07-12
Mac編譯
EA指令碼編寫要點
2018-05-29
指令碼
編寫執行R指令碼
2016-08-24
指令碼
【轉】IDA Pro 初探
2019-03-15
IDA Pro簡介
2015-11-15
編譯FFMPEG原始碼的指令碼編寫案例
2017-10-12
編譯原始碼指令碼
《IDA Pro權威指南（第2版）》編輯手記
2011-11-11
編寫shell指令碼的規範
2020-10-29
指令碼
如何編寫高效的 Shell 指令碼
2022-10-07
指令碼
如何使用zx編寫shell指令碼
2022-11-22
指令碼
systemd 編寫服務管理指令碼
2018-03-08
指令碼
Mac 編寫oracle 連線指令碼
2016-11-27
MacOracle指令碼
Linux 指令碼編寫基礎
2010-11-15
Linux指令碼
Linux指令碼編寫基礎
2007-06-11
Linux指令碼
IDA Pro基本簡介
2014-11-20
Redis Lua指令碼完全入門
2020-10-19
Redis指令碼
AppleScript指令碼入門
2017-09-20
APP指令碼
Velocity指令碼入門教程
2014-10-09
指令碼
nGrinder中快速編寫groovy指令碼01-指令碼結構
2019-08-27
指令碼
從零開始編寫指令碼引擎
2022-05-15
指令碼
技能篇：shell教程及指令碼編寫
2021-06-16
指令碼
專案啟動指令碼的編寫
2022-07-09
指令碼
shell 指令碼如何編寫-致初學者
2023-09-19
指令碼
shell編寫服務啟動指令碼
2015-08-13
指令碼
isql指令碼編寫建立資料庫
2008-09-25
SQL指令碼資料庫
Linux指令碼編寫基礎(五)
2010-02-02
Linux指令碼
Linux 指令碼編寫基礎(轉)
2007-08-15
Linux指令碼
Oracle Sql loader 匯入資料指令碼的編寫過程
2011-07-27
OracleSQL指令碼
字串編碼入門科普
2019-03-04
字串編碼
IDA Pro外掛試刀
2015-11-15