[原创]分享一个QuickTime静态分析IDAPython脚本-二进制漏洞-看雪-安全社区|安全招聘|kanxue.com

[原创]分享一个QuickTime静态分析IDAPython脚本

发表于: 2012-11-15 07:55 4465

[原创]分享一个QuickTime静态分析IDAPython脚本

cscoder

2012-11-15 07:55

4465

最近在用IDA分析QuickTime.qts中代码的时候，发现其中很多函数（有2800多个吧）都是由theQuickTimeDispatcher函数分发来实现调用的,比如在模块以下位置有两处函数调用：

.text:6688EDF0 loc_6688EDF0:                         
.text:6688EDF0                 mov     eax, [esp+124h+var_F0]
.text:6688EDF4                 test    eax, eax
.text:6688EDF6                 jz      short loc_6688EE01
.text:6688EDF8                 push    eax
.text:6688EDF9                 call    sub_668FE1B0   
.text:6688EDFE                 add     esp, 4
.text:6688EE01
.text:6688EE01 loc_6688EE01:                           
.text:6688EE01                 cmp     [esp+124h+var_104], 0
.text:6688EE06                 jz      short loc_6688EE15
.text:6688EE08                 lea     eax, [esp+124h+var_104]
.text:6688EE0C                 push    eax
.text:6688EE0D                 call    sub_668CE1D0    
.text:6688EE12                 add     esp, 4

mov eax,[分发函数序号]
jmp theQuickTimeDispatcher

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

result.jpg （66.51kb，4次下载）
qt_dispatcher.py.txt （4.78kb，59次下载）

收藏・2

免费・6

支持

最新回复 (2)
金罡雪币： 1489 活跃值： (1053) 能力值： ( LV8，RANK：130 ) 在线值：发帖 13 回帖 367 粉丝 108 关注私信	金罡 2 2 楼坐下沙发慢慢看。 2012-11-15 10:22 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 3 楼感谢LZ.可以考虑再写点关于PICT的插件来造福我 2012-11-15 11:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cscoder

发帖

回帖

230

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (2)
金罡雪币： 1489 活跃值： (1053) 能力值： ( LV8，RANK：130 ) 在线值：发帖 13 回帖 367 粉丝 108 关注私信	金罡 2 2 楼坐下沙发慢慢看。 2012-11-15 10:22 0
dEARMoON 雪币： 106 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 95 粉丝 0 关注私信	dEARMoON 3 楼感谢LZ.可以考虑再写点关于PICT的插件来造福我 2012-11-15 11:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复