[求助]如何通过写IDA插件获取库函数信息-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (1)
terren 雪币： 254 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 92 粉丝 0 关注私信	terren 1 2 楼库函数与其它诸如sub_401000这样的函数是一样的，都是用func_t类（位于IDA SDK的funcs.hpp）表示相关函数信息，其中func_t类中，第一个公共成员就表示函数的标志。预定义符FUNC_LIB，标明函数是否为库函数。 class func_t : public area_t { public: ushort flags; #define FUNC_NORET 0x00000001 // Function doesn't return #define FUNC_FAR 0x00000002 // Far function #define FUNC_LIB 0x00000004 // Library function ……其它略 }; 用下面代码测试库函数 ea_t ea; ea = get_screen_ea(); func_t *Function = get_func(ea); // 判断是否为库函数 if(FUNC_LIB & Function->flags) { msg("it's libary function\n"); } else{ msg("it's not libary function\n"); } 接着就可以用Alt+P快键打开函数属性，并参考其中的Library func一项。如图上传的附件： lib.jpg （24.40kb，55次下载） 2010-5-7 16:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (1)

terren

雪币： 254

活跃值： (15)

能力值：

( LV4，RANK：50 )

在线值：

发帖

回帖

粉丝

关注

私信

terren 1: 2 楼

库函数与其它诸如sub_401000这样的函数是一样的，
都是用func_t类（位于IDA SDK的funcs.hpp）表示相关函数信息，

其中func_t类中，第一个公共成员就表示函数的标志。
预定义符FUNC_LIB，标明函数是否为库函数。

class func_t : public area_t
{
public:
  ushort flags;
#define FUNC_NORET    0x00000001    // Function doesn't return
#define FUNC_FAR       0x00000002    // Far function
#define FUNC_LIB       0x00000004    // Library function
   ……其它略
};

用下面代码测试库函数
ea_t ea;
ea = get_screen_ea();

func_t *Function = get_func(ea);

// 判断是否为库函数
if(FUNC_LIB & Function->flags)
{
msg("it's libary function\n");
}
else{
msg("it's not libary function\n");
}

接着就可以用Alt+P快键打开函数属性，并参考其中的Library func一项。如图

上传的附件：

lib.jpg （24.40kb，55次下载）

2010-5-7 16:46