2018-07-14 IDA-脚本编写

执行脚本的常识：

• 访问IDA的脚本引擎
  
  图片.png
  
  
  图片.png
• script Flie：表示 独立的一个脚本
  
  最近使用过的脚本

如下图所示：

• 双击：表示运行脚本

  
  
  recent scripts窗口

• options->General->misc:指定编辑器。

  
  
  指定编辑器

IDC语言：

IDC脚本语言借用了很多C语言的许多的语法。

IDC变量：

• auto：
  IDC关键字auto用于引入一个局部变量。
  
  auto例子
  
  1：IDC认可使用/* */的c语言风格进行多行注释。
  2：也使用//的C++风格进行行尾注释
  3：使用;作为终止符（和c语言中一样）
  4：IDC并不支持c风格数组类型，指针,结构体,联合之类，复杂的数据类型
• extern：
  IDA使用extern关键字引入全局变量声明。

可以在任何函数定日的内部和外部申明全局变量，但蹦年子啊声明全局变量的是时候为其提供初始值

例子程序

IDC表达式：

IDC支持c中的所有表达式和逻辑运算符，包括三元运算符（？：）。

• 支持逗号运算符
  但是 不支持 op=(+=,*=,>>=等)符合赋值运算符。
• 不支持算术移位，如果要移位只能修改最高位和最低位。如下所示：
  
  移位操作
  
  提供分片运算，
  使用方法：使用方括号和其实索引（包括）与结束索引（不包括）来指定至少一个索引。如下图所示：
  
  数组，处理字符串

IDC语句

• 语句以分号结尾，但是不支持复合语句。
• 引入try/catch块和相关的throw语句，相当与C++的异常处理。
• 使用和C语言一样的花括号和语义。在花括号中可以申明变量，申明变量必须位于花括号内的第一条语句。
• Message类似于c语言中的print

注意:
如下所示：我们能同时打印x，y的值（即使未执行到y代码块），但是只能打印出同一函数，但是不能打印不同函数的值。

图片.png

IDC函数：

• .idc文件支持用户定义的函数。
• IDC命令对话框不支持用户定义的函数。
• 使用static声明用户定义的函数。
• 函数的参数列表以逗号隔开。
  
  函数声明
• 采用传值的方式（call-by-value）传递（ida5.6以前）
• 采用传地址的方式（call-by-reference），（ida5.6以后）
  • 传地址采用& ，这和C语言一样。
    
    函数传地址
• 若需要返回值 ，使用return

  • 可以将函数的引用作为参数传递给另外一个函数，并将函数引用的作为函数的结果返回。

    
    
    函数的引用

IDC对象：

• IDC定义一个称为object的根类，支持单一继承。
• 不使用访问说明符（像public与private），所有类成员均为有效公共类。
• 在类中创建数据成员，使用赋值语句赋值给创建的数据成员，即可。
  
  对象赋值

IDC程序：

• 当执行大量的IDC语句的时候，需要创建一个独立的IDC程序文件。
• IDC程序文件，至少定义一个没有参数的main函数。
• IDC文件必须包含#include 这个文件，由此获得宏定义。
  
  脚本文件示例

IDC认可以下C预处理指令：

• #include<名称>,将指定的文件加载到当前文件里
• #define<宏名称>[可选值]：创建一个宏，可以指定一个值
  
  define宏定义
• #ifdef<名称>：测试执行的宏是否存在，如果该宏存在，可以选择处理其后的任何语句。
• #endif #ifde或#ifdef/#else块所需的终止符。
• #undef<名称> 删除指定的宏。

IDC 错误处理

主要产生两种错误：解析错误和运行错误。

• 解析错误:指令无法运行错误，语法错误，引用未定义的变量，函数参数数量错误。
• 运行时的错误：这种错误较少，运行错误会使脚本立即终止。

关键IDC脚本与热键

• 使用 AddHotkey函数调用，将特定的热键与IDC脚本关联起来。如下图所示：

  
  
  热键

注意：

• idc脚本标准存储目录为/idc;
• 不能将脚本函数命名为main。因为ida.idc中的main函数相冲突。

IDC函数

• void MakeUnkn（long addr， long flags）

  
  
  图片.png

MakeUnkn
// Convert the current item to an explored item
//      ea     - linear address
//      expand - 0: just undefine the current item
//               1: undefine other instructions if the removal of the
//                  current instruction removes all references to them.
//                  (note: functions will not be undefined even if they
//                         have no references to them)

void    MakeUnkn        (long ea,long expand);  // convert to 'unknown'
                                                // expand!=0 => undefine consequent
                                                // instructions too

清除反编译

// Clean up the disassembly so it looks nicer
MakeUnknown(tea1, tea2-tea1, DOUNK_EXPAND|DOUNK_DELNAMES);

函数众多 待续

IDApython：

• IDAPython在IDA中集成了Python解释器，除了提供了Python功能外，使用这个插件还可以编写实现IDC脚本语言的所有Python脚本。
• IDAPython显著优势在于，它可以充分利用Python强大的数据处理能力及所有的Python模块。
• IDAPython还具有IDA SDK的大部分功能，与IDC相比，使用它可以编写功能更加强大的脚本。
• IDAPython有一个缺点就是文档资源太少，容易造成障碍。
  IDApython是一个插件，在IDA中继承了python插件。
  以下为WOW的IDC脚本：

#include 
static main()
{
    auto ptr, i, a, b, k, x;
    auto y,ss="",dd="";
    k = 0;
    ptr = 0x40087F;
    i = 0;
    while(1)
    {
        a = Byte(ptr+i);
        b = Byte(ptr+i+1);
        for (x = 0; x <= 255; x++)
        {
            if(((a^x) == 0xFB)&&((b^x) == 0x90))
            {
                Message("%x\n",ptr+i);
                Message("xxxxxx%d\n",x);
                y=ltoa(x,16);
                //Message("%c\n",y);
                ss= ss + x;
                dd= dd + y;
                //Message("xxxxxx%s\n",dd);
                k++;
                break;
            }
        }
        if (k == 6)break;
        i++;
    }
    Message("good job\n");
    
    Message("%s\n", "Hello world!");
    Message("dddddd%s\n",dd);
    Message("+++++%s\n",ss);
    //Message("/////%c%c%c%c%c%c\n",ss[0:2],ss[2:4],ss[4:6],ss[6:8],ss[8:10],ss[10:12]);
    }

IDA python有三个独立的模块组成：

 1. idc：这是兼容idc函数的模块  
  2. idautils：很使用的一个模块，大多数处理都是需要依托于这个模块  
  3. idaapi：允许使用者通过类的形式，访问更多底层的数据  

• IDC模块负责提供IDC所有的函数
• idaapi模块负责访问核心IDA API
• idautils：提供大量的实用函数，其中许多函数可以生成各种数据库的相关对象（如函数和交叉引用)的python列表。
  • IDAPython脚本会自动导入idc和idautils模块。
  • idaapi模块,需要手动导入。
    以wow为例，写一个练习脚本：

import idc
#ida 6.8
def test_char(beginEa):
    retInt=0
    for i in range(0,100):
        curEa=beginEa+i
        prevByte=idc.Byte(curEa-1)
        curByte=idc.Byte(curEa)
        xorPrev=(prevByte^0xfb)
        xorcur=(curByte^0x90)
        if  xorPrev==xorcur:
            print hex(curEa),hex(xorPrev),chr(xorPrev)
            retInt=xorPrev
            break
    return retInt
 
 
str_in=""
x0=test_char(0x40087f)
//print x0
str_in+=chr(x0)
x1=test_char(0x4008c9)
//print x1
str_in+=chr(x1^x0)
x2=test_char(0x400910)
str_in+=chr(x2^x1)
x3=test_char(0x400957)
str_in+=chr(x3^x2)
x4=test_char(0x40099e)
str_in+=chr(x4^x3)
str_in+=chr(0xf^x4)
print str_in

参考链接:

IDApython函数库:https://www.hex-rays.com/products/ida/support/idapython_docs/
灰帽子之旅：https://wizardforcel.gitbooks.io/grey-hat-python/content/48.html