[原创]IDA批量模式-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]IDA批量模式

发表于: 2012-3-12 18:42 25072

[原创]IDA批量模式

obaby

2012-3-12 18:42

25072

整体说来ida的批量模式并不能算是真正的批量模式，只是可以通过各种手段来执行多个ida进行分析。众所周知ida是不支持多线程的，并且按照官方的说明看来在将来也不准备支持多线程。那么要想进行批量处理就只能使用自己的一些办法，自己去写个程序用命令来调用ida进行处理。
对于其他平台下的ida的批量模式这里并不准备介绍，简单的说一下Windows下的批量模式。如果用过ida的话应该比较清楚ida其实是提供了两种不同的界面，基于Gui的和基于Console的。两者都支持参数调用，但是命令行下的程序可以节省更多的资源，并且有更快的运行效率，如果同时运行数个ida那么建议使用命令行下的版本。
命令参数如下：
idag -A -Smyscript.idc input_file
官方的原始的idc脚本的内容是下面的样子：
static main()
{
  RunPlugin("myplugin", 0); // run myplugin with argument 0
}
在执行脚本中调用了一个自定义的插件，那么其实这里也可以全部用脚本实现想要的功能。如果没有其他的要求可以把执行脚本锁定为analysis.idc，这个脚本会在文件分析完毕之后生成idb的数据库，并且生成相关的asm代码。需要注意的是这里的S和脚本之间没有空格，并且脚本的搜索目录为ida的安装目录下的idc文件夹，所以最好把自己的脚本放入这个文件夹下。
除此之外IDA还支持另外的两个参数-B和-c，所有参数的定义如下：
-A 让ida自动运行，不需要人工干预。也就是在处理的过程中不会弹出交互窗口，但是如果从来没有使用过ida那么许可协议的窗口无论你是否使用这个参数都将会显示。

-c 参数会删除所有与参数中指定的文件相关的数据库，并且生成一个新的数据库。
-S 参数用于指定ida在分析完数据之后执行的idc脚本，该选项和参数之间没有空格，并且搜索目录为ida目录下的idc文件夹。
-B 参数指定批量模式，等效于-A –c  –Sanylysis.idc.在分析完成后会自动生成相关的数据库和asm代码。并且在最后关闭ida，以保存新的数据库。

熟悉了ida的批量模式之后比较关键的就是批量启动ida了，为了节省资源建议启动idaw进行数据分析，大家可以发挥自己的想象力来编写程序动态的调用ida。下面是我写的一段python脚本（主要是最近在研究PySide的内容，嘎嘎。所以直接用Python写了，大家可以选择自己喜欢的语言编写）：
#########################################
#Ida batch mode test code by obaby
#2012.03.12
#Mars Security
#http://www.h4ck.org.cn
#Email:root@h4ck.ws
#########################################
import sys
import os
import subprocess

global idcScriptFileName
global ida32qFilePath
global ida64qFilePath
global ida32wFilePath
global ida64wFilePath

# File these feilds with ur own ida file path and the idc file u want to execute!
idcScriptFileName = "batchmod.idc"
ida32qFilePath = '"E:\IDA 6.2\idaq.exe"'
ida64qFilePath = "E:\IDA 6.2\idaq64.exe"
ida32wFilePath ='"E:\IDA 6.2\idaw.exe"'
ida64wFilePath = "E:\IDA 6.2\idaw64.exe"
#The binary file list text
TargetList = "c:/test.txt"

TargetFile_object = open(TargetList, "r").readlines()
for eachline in TargetFile_object:
#print eachline,
#print eachline
eachline = eachline.replace('\n','').replace('\r', '')
if os.path.exists(eachline):
      tmpExecStr =  ida32wFilePath +" -B -S"+idcScriptFileName +" " + eachline
      print tmpExecStr,
      #os.system(tmpExecStr) singl process with cmdwindow
      #os.popen(tmpExecStr)  singl process without cmdwindow
      subprocess.Popen(tmpExecStr) #mulity process with cmd window

print ("All Process have been started!")




Txt中的文件列表如下：
C:\testexe\MusiccityDownload.exe
C:\testexe\MASetupCaller.dll
C:\testexe\NOTEPAD.EXE
C:\testexe\regedit.exe
C:\testexe\MAMCityDownload.ocx
最终执行效果就是下面的样子，嘎嘎：

整体来说，效果还是不错的。在代码中用到的idc脚本如下所示：
//by obaby
#include <idc.idc>

static main()
{
  // turn on coagulation of data in the final pass of analysis
  SetShortPrm(INF_AF2, GetShortPrm(INF_AF2) | AF2_DODATA);

Message("Waiting for the end of the auto analysis...\n");
Wait();
Message("\n\n------ Creating the output file.... --------\n");
auto file = GetIdbPath()[0:-4] + ".asm";
WriteTxt(file, 0, BADADDR);          // create the assembler file
auto str_gdlpath,str_idbpath;
str_gdlpath = GetInputFilePath();
str_idbpath = substr(str_gdlpath,0,strlen(str_gdlpath)-4)+".idb";
str_gdlpath = substr(str_gdlpath,0,strlen(str_gdlpath)-4)+".gdl";
GenCallGdl(str_gdlpath, "Call Gdl", CHART_WINGRAPH);
SaveBase(str_idbpath,0);
Message("Gdl file have been saved to %s",str_gdlpath);
Message("All done, exiting...\n");
  Exit(0);                            // exit to OS, error code 0 - success
}相关代码大家可以按照自己的要求进行修改，上面的代码会在分析完成之后生成一下的文件：

PDF Here: IDA批量模式.pdf

参考文档：
1. On batch analysis http://www.hexblog.com/?p=53
2. 《The IDA Pro Book》

说明：本文主要是受http://bbs.pediy.com/showthread.php?t=147222&highlight=gdl+%E6%96%87%E4%BB%B6+%E4%BB%B6 文章的启发，后来和这个帖子的作者聊天的时候扯到关于批量处理二进制文件和生成gdl调用图的问题才写了这么一篇文章，并没有其他的意思。所以在idc的代码中才有生成gdl文件的相关代码。

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

IDA.png （32.22kb，851次下载）
idaw.png （17.11kb，852次下载）
testexe.png （81.38kb，855次下载）
IDA批量模式.pdf （446.98kb，200次下载）

收藏・18

免费・6

支持

最新回复 (24)
windowsa 雪币： 183 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 305 粉丝 0 关注私信	windowsa 2 楼此帖必火!!! 2012-3-12 19:13 0
小菜鸟一雪币： 1155 活跃值： (4247) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 3 楼 IDA6.2 2012-3-12 20:42 0
dnybz 雪币： 66 活跃值： (960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 4 楼在用6.1 的飘过 2012-3-12 20:59 0
obaby 雪币： 14983 活跃值： (5285) 能力值： ( LV15，RANK：880 ) 在线值：发帖 53 回帖 646 粉丝 82 关注私信	obaby 20 5 楼这个功能只需要ida5.5以上的版本就可以了。并不是最新的版本才有的。 2012-3-12 21:07 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 6 楼还是看不懂撒~ 2012-3-13 08:40 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 7 楼不知道楼主要表达什么，是个什么意思！ 2012-3-13 09:18 0
albeta 雪币： 202 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 173 粉丝 0 关注私信	albeta 8 楼很明显，楼主是在向大家宣布，6.2出来了。 2012-3-13 09:27 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 9 楼要么发出来，要么别炫耀。就这么简单，OK? 2012-3-13 09:53 0
obaby 雪币： 14983 活跃值： (5285) 能力值： ( LV15，RANK：880 ) 在线值：发帖 53 回帖 646 粉丝 82 关注私信	obaby 20 10 楼本文只是说明ida的一个小功能，没有别的意思。 2012-3-13 10:21 0
yeweijun 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	yeweijun 11 楼比你那个啥编译器语法映射啥的。牛B多了。我觉得楼主发这帖子不是炫耀。 2012-3-13 10:31 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 12 楼说半天没看懂什么意思，大菜鸟飘过！ 2012-3-13 10:38 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 13 楼如果语言上有得罪，给你道歉：对不起！ 2012-3-13 10:39 0
obaby 雪币： 14983 活跃值： (5285) 能力值： ( LV15，RANK：880 ) 在线值：发帖 53 回帖 646 粉丝 82 关注私信	obaby 20 14 楼你这么说我反而不好意思了。 2012-3-13 10:41 0
wbs 雪币： 1559 活跃值： (1795) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 232 粉丝 0 关注私信	wbs 15 楼把6.2放去来吧不要勾引大家 2012-3-13 11:02 0
imbadyc 雪币： 181 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 86 粉丝 0 关注私信	imbadyc 16 楼楼主，赞一个 2012-3-13 11:22 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 17 楼 IDA 6.2冒似没有泄露版的，大多是一些安全厂商自己购买的。 2012-3-13 12:55 0
supertyj 雪币： 1121 活跃值： (732) 能力值： ( LV5，RANK：66 ) 在线值：发帖 3 回帖 241 粉丝 2 关注私信	supertyj 1 18 楼不太了解批量的意义在哪里，到头来还是人来看吧？ 2012-3-13 15:28 0
ntzwq 雪币： 213 活跃值： (512) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 267 粉丝 1 关注私信	ntzwq 19 楼在介绍技术的同时，显示一下用的是6.2，因6.2显然比所介绍的内容更有吸引力。 2012-3-13 20:21 0
JWPL 雪币： 5 活跃值： (1131) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 1 关注私信	JWPL 20 楼我也放一个以前用的批处理。 set path=%path%;D:\Program Files\ida61 for /f %%i in ('dir /b/s .') do ( rem idaw.exe -c -A -Smyexit.idc %%i rem 这个注释掉的是自动生成idb文件 idau -A -SG:\workspace\Ida\src\ustr.py %%i ) 2012-3-15 13:29 0
唯一色彩雪币： 212 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 90 粉丝 0 关注私信	唯一色彩 21 楼非常感谢辛苦了 ~~ 2012-3-15 14:56 0
小调调雪币： 3286 活跃值： (3336) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 22 楼你的意思是批量分析东西？ 2012-3-15 17:57 0
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 23 楼学习.... 2012-3-16 08:27 0
guxinyi 雪币： 585 活跃值： (578) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 24 楼吧6.2放出来，呵呵， 2012-3-18 14:56 0
天杀雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 53 粉丝 1 关注私信	天杀 25 楼相对于批量，6.2对大家更有吸引力，嘿嘿还希望施主功德圆满啊。 2012-3-19 11:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

obaby

发帖

646

回帖

880

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (24)
windowsa 雪币： 183 活跃值： (55) 能力值： ( LV3，RANK：20 ) 在线值：发帖 11 回帖 305 粉丝 0 关注私信	windowsa 2 楼此帖必火!!! 2012-3-12 19:13 0
小菜鸟一雪币： 1155 活跃值： (4247) 能力值： ( LV5，RANK：69 ) 在线值：发帖 6 回帖 903 粉丝 4 关注私信	小菜鸟一 3 楼 IDA6.2 2012-3-12 20:42 0
dnybz 雪币： 66 活跃值： (960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 4 楼在用6.1 的飘过 2012-3-12 20:59 0
obaby 雪币： 14983 活跃值： (5285) 能力值： ( LV15，RANK：880 ) 在线值：发帖 53 回帖 646 粉丝 82 关注私信	obaby 20 5 楼这个功能只需要ida5.5以上的版本就可以了。并不是最新的版本才有的。 2012-3-12 21:07 0
vvking 雪币： 1737 活跃值： (110) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 210 粉丝 0 关注私信	vvking 6 楼还是看不懂撒~ 2012-3-13 08:40 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 7 楼不知道楼主要表达什么，是个什么意思！ 2012-3-13 09:18 0
albeta 雪币： 202 活跃值： (46) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 173 粉丝 0 关注私信	albeta 8 楼很明显，楼主是在向大家宣布，6.2出来了。 2012-3-13 09:27 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 9 楼要么发出来，要么别炫耀。就这么简单，OK? 2012-3-13 09:53 0
obaby 雪币： 14983 活跃值： (5285) 能力值： ( LV15，RANK：880 ) 在线值：发帖 53 回帖 646 粉丝 82 关注私信	obaby 20 10 楼本文只是说明ida的一个小功能，没有别的意思。 2012-3-13 10:21 0
yeweijun 雪币： 235 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 43 粉丝 0 关注私信	yeweijun 11 楼比你那个啥编译器语法映射啥的。牛B多了。我觉得楼主发这帖子不是炫耀。 2012-3-13 10:31 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 12 楼说半天没看懂什么意思，大菜鸟飘过！ 2012-3-13 10:38 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 13 楼如果语言上有得罪，给你道歉：对不起！ 2012-3-13 10:39 0
obaby 雪币： 14983 活跃值： (5285) 能力值： ( LV15，RANK：880 ) 在线值：发帖 53 回帖 646 粉丝 82 关注私信	obaby 20 14 楼你这么说我反而不好意思了。 2012-3-13 10:41 0
wbs 雪币： 1559 活跃值： (1795) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 232 粉丝 0 关注私信	wbs 15 楼把6.2放去来吧不要勾引大家 2012-3-13 11:02 0
imbadyc 雪币： 181 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 86 粉丝 0 关注私信	imbadyc 16 楼楼主，赞一个 2012-3-13 11:22 0
riusksk 雪币： 433 活跃值： (1870) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 169 回帖 2648 粉丝 260 关注私信	riusksk 41 17 楼 IDA 6.2冒似没有泄露版的，大多是一些安全厂商自己购买的。 2012-3-13 12:55 0
supertyj 雪币： 1121 活跃值： (732) 能力值： ( LV5，RANK：66 ) 在线值：发帖 3 回帖 241 粉丝 2 关注私信	supertyj 1 18 楼不太了解批量的意义在哪里，到头来还是人来看吧？ 2012-3-13 15:28 0
ntzwq 雪币： 213 活跃值： (512) 能力值： ( LV3，RANK：20 ) 在线值：发帖 25 回帖 267 粉丝 1 关注私信	ntzwq 19 楼在介绍技术的同时，显示一下用的是6.2，因6.2显然比所介绍的内容更有吸引力。 2012-3-13 20:21 0
JWPL 雪币： 5 活跃值： (1131) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 48 粉丝 1 关注私信	JWPL 20 楼我也放一个以前用的批处理。 set path=%path%;D:\Program Files\ida61 for /f %%i in ('dir /b/s .') do ( rem idaw.exe -c -A -Smyexit.idc %%i rem 这个注释掉的是自动生成idb文件 idau -A -SG:\workspace\Ida\src\ustr.py %%i ) 2012-3-15 13:29 0
唯一色彩雪币： 212 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 90 粉丝 0 关注私信	唯一色彩 21 楼非常感谢辛苦了 ~~ 2012-3-15 14:56 0
小调调雪币： 3286 活跃值： (3336) 能力值： ( LV4，RANK：40 ) 在线值：发帖 26 回帖 380 粉丝 19 关注私信	小调调 22 楼你的意思是批量分析东西？ 2012-3-15 17:57 0
yodamaster 雪币： 1644 活跃值： (53) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 365 粉丝 1 关注私信	yodamaster 23 楼学习.... 2012-3-16 08:27 0
guxinyi 雪币： 585 活跃值： (578) 能力值： ( LV13，RANK：290 ) 在线值：发帖 61 回帖 681 粉丝 16 关注私信	guxinyi 5 24 楼吧6.2放出来，呵呵， 2012-3-18 14:56 0
天杀雪币： 239 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 53 粉丝 1 关注私信	天杀 25 楼相对于批量，6.2对大家更有吸引力，嘿嘿还希望施主功德圆满啊。 2012-3-19 11:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复