[下载]分享一个ida脚本,非常方便-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[下载]分享一个ida脚本,非常方便

发表于: 2013-9-5 13:32 31909

[下载]分享一个ida脚本,非常方便

梁萧

2013-9-5 13:32

31909

平日分些一个函数的功能时，为了弄清楚该函数的功能，总是必须先行分析该函数调用的那些子函数的功能，跳转到子函数去分析时，又要先行分析
该子函数调用的那些子函数，如此循环下去，不胜其烦。于是通常的办法都是从该函数的调用树最底层的函数（我称为叶节点函数）开始，一层一层往上分析。
然而找到该函数最终调用的那些叶节点函数又不方便，IDA倒是自带提供了一个交叉引用外部图形工具，可将一个函数的调用树直接画出来，然而画出来的图形
一团糟，很不清晰，所以我想到了用脚本代替，一次性直接找到那些叶节点函数

另一个需求是：一旦找到了那些叶节点函数，比如找到一个叶节点函数sub_44444,该函数除了调用一些知名的库函数外，不再调用其他函数。我习惯将所有找到
的分析完毕的所有叶节点函数更名为xy前缀形式的函数名，这样，下次再重复寻早那个高层函数的所有叶节点函数，这些所有已更名为xy前缀的原叶节点函数
就不再是叶节点了。

脚本使用方法：
将附件中的ida.idc文件放在ida安装目录下的idc目录中，替换即可（你自己先备份一下原来的ida.idc吧），然后启动IDA，将光标放在一个函数内部，按下Shift
+Alt+L快捷键，就可以一次性列举出该函数调用的所有叶节点函数了，当你逐个分析完那些叶节点函数后，更名为xy前缀，然后回到原高层函数内部，再次按快捷键
Shift+Alt+L，这个时候列举出的叶节点函数就是先前那些叶节点函数的上层函数了，如此循环，各个击破，嘿嘿

另外附带的一个功能是：像VC一样，按 Ctrl+[ 快捷键可以一下子跳转到函数开头处，Ctrl+] 快捷键可以一下子跳转到函数结尾处

献给大家喽，有什么好的功能，自己完善去吧，求致谢~

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#调试逆向

上传的附件：

ida脚本.rar （2.07kb，602次下载）

收藏・72

免费・7

支持

最新回复 (54) 1 2 3 ▶
koflfy 雪币： 102 活跃值： (2080) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 398 粉丝 4 关注私信	koflfy 1 2 楼好东西，上次也有个哥们有一个类似的脚本 2013-9-5 13:50 0
baohongyu 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 211 粉丝 0 关注私信	baohongyu 3 楼哈，这个要顶啊 2013-9-5 14:10 0
chence 雪币： 1327 活跃值： (370) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 73 粉丝 2 关注私信	chence 4 4 楼好东西啊，谢谢 2013-9-5 14:21 0
fireworld 雪币： 185 活跃值： (477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 334 粉丝 0 关注私信	fireworld 5 楼好东西收藏之 2013-9-5 15:31 0
天高雪币： 623 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 166 粉丝 0 关注私信	天高 6 楼 make 2013-9-5 15:51 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 7 楼一个不错的工具，呵呵 2013-9-5 15:58 0
山顶冻人雪币： 360 活跃值： (127) 能力值： ( LV2，RANK：15 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	山顶冻人 8 楼妈妈再也不用担心我找不着函数了 2013-9-5 16:12 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 9 楼不错，赞一个 2013-9-5 16:19 0
流逝时光雪币： 70 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	流逝时光 10 楼这东西不错，工欲善其事必先利其器 2013-9-5 16:39 0
笑熬浆糊雪币： 414 活跃值： (987) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 229 粉丝 4 关注私信	笑熬浆糊 2 11 楼果然是好东西 2013-9-5 16:42 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 12 楼顶一个试了下还不错 2013-9-5 17:03 0
xiaowz 雪币： 118 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 195 粉丝 0 关注私信	xiaowz 13 楼测试了一下不太好使啊一直提示runing 2013-9-5 17:10 0
wbs 雪币： 1560 活跃值： (1806) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 233 粉丝 0 关注私信	wbs 14 楼收藏这么nb的东西 2013-9-5 17:22 0
梁萧雪币： 813 活跃值： (175) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 104 粉丝 9 关注私信	梁萧 1 15 楼一直都那样吗？有可能有bug，有些函数可能不适用，没细测 2013-9-5 18:57 0
KooJiSung 雪币： 357 活跃值： (3473) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 16 楼楼主说明看得云里雾里,自己反复研读后,概括一下查找函数的所有最深层函数,然后手动改名xy_xx 再查找函数所有非xy_xx的最深层函数,再手动改名xy_xx 重复直到函数本身,至此函数的意思就明白了代码写得很粗糙,想法不错替换ida.idc做法不可取叶节点函数不如叫叶尾函数或者叶顶点函数更能表达意思 2013-9-5 21:44 0
honggaoyan 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	honggaoyan 17 楼有人要注册，我回一个 2013-9-6 09:22 0
诶一雪币： 10 活跃值： (231) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 176 粉丝 2 关注私信	诶一 18 楼我也是一直running 一点没反应，等半天了，不过那说明我真有点看的云里雾里， 2013-9-6 09:32 0
xiaowz 雪币： 118 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 195 粉丝 0 关注私信	xiaowz 19 楼是啊，反复测试了好几次，都是这样，卡在那不动了，一直提示running，估计是有bug。 2013-9-6 09:41 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 20 楼好东西，支持 2013-9-6 13:45 0
梁萧雪币： 813 活跃值： (175) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 104 粉丝 9 关注私信	梁萧 1 21 楼首次上传的ida.idc脚本有点小问题，现已纠正 V1.1版修正以下两个问题： 1、在个别函数内部运行脚本会出现一直runing的情况 2、有的函数体内部就一条jmp指令这种特殊函数引起的问题（Debug版的程序这种函数尤其多）非常感谢以上各位道友反馈出的问题，各位相互转告下，下载V1.1版本上传的附件： ida_scriptV1.1.rar （2.37kb，73次下载） 2013-9-6 13:54 0
梁萧雪币： 813 活跃值： (175) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 104 粉丝 9 关注私信	梁萧 1 22 楼看到大家支持，很开心~ 2013-9-6 13:56 0
破九雪币： 19 活跃值： (74) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 287 粉丝 1 关注私信	破九 23 楼支持一下，share spirit值得肯定！ 2013-9-6 14:01 0
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 24 楼果断顶起果断下载多谢LZ 2013-9-6 21:33 0
Tebox 雪币： 1088 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 30 回帖 242 粉丝 0 关注私信	Tebox 25 楼这个脚本好使 2013-9-6 22:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

梁萧

发帖

104

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (54) 1 2 3 ▶
koflfy 雪币： 102 活跃值： (2080) 能力值： ( LV4，RANK：50 ) 在线值：发帖 8 回帖 398 粉丝 4 关注私信	koflfy 1 2 楼好东西，上次也有个哥们有一个类似的脚本 2013-9-5 13:50 0
baohongyu 雪币： 306 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 211 粉丝 0 关注私信	baohongyu 3 楼哈，这个要顶啊 2013-9-5 14:10 0
chence 雪币： 1327 活跃值： (370) 能力值： ( LV11，RANK：190 ) 在线值：发帖 13 回帖 73 粉丝 2 关注私信	chence 4 4 楼好东西啊，谢谢 2013-9-5 14:21 0
fireworld 雪币： 185 活跃值： (477) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 334 粉丝 0 关注私信	fireworld 5 楼好东西收藏之 2013-9-5 15:31 0
天高雪币： 623 活跃值： (40) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 166 粉丝 0 关注私信	天高 6 楼 make 2013-9-5 15:51 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 7 楼一个不错的工具，呵呵 2013-9-5 15:58 0
山顶冻人雪币： 360 活跃值： (127) 能力值： ( LV2，RANK：15 ) 在线值：发帖 4 回帖 50 粉丝 0 关注私信	山顶冻人 8 楼妈妈再也不用担心我找不着函数了 2013-9-5 16:12 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 9 楼不错，赞一个 2013-9-5 16:19 0
流逝时光雪币： 70 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	流逝时光 10 楼这东西不错，工欲善其事必先利其器 2013-9-5 16:39 0
笑熬浆糊雪币： 414 活跃值： (987) 能力值： ( LV6，RANK：90 ) 在线值：发帖 13 回帖 229 粉丝 4 关注私信	笑熬浆糊 2 11 楼果然是好东西 2013-9-5 16:42 0
evilor 雪币： 297 活跃值： (265) 能力值： ( LV4，RANK：55 ) 在线值：发帖 34 回帖 660 粉丝 2 关注私信	evilor 12 楼顶一个试了下还不错 2013-9-5 17:03 0
xiaowz 雪币： 118 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 195 粉丝 0 关注私信	xiaowz 13 楼测试了一下不太好使啊一直提示runing 2013-9-5 17:10 0
wbs 雪币： 1560 活跃值： (1806) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 233 粉丝 0 关注私信	wbs 14 楼收藏这么nb的东西 2013-9-5 17:22 0
梁萧雪币： 813 活跃值： (175) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 104 粉丝 9 关注私信	梁萧 1 15 楼一直都那样吗？有可能有bug，有些函数可能不适用，没细测 2013-9-5 18:57 0
KooJiSung 雪币： 357 活跃值： (3473) 能力值： ( LV3，RANK：25 ) 在线值：发帖 8 回帖 682 粉丝 3 关注私信	KooJiSung 16 楼楼主说明看得云里雾里,自己反复研读后,概括一下查找函数的所有最深层函数,然后手动改名xy_xx 再查找函数所有非xy_xx的最深层函数,再手动改名xy_xx 重复直到函数本身,至此函数的意思就明白了代码写得很粗糙,想法不错替换ida.idc做法不可取叶节点函数不如叫叶尾函数或者叶顶点函数更能表达意思 2013-9-5 21:44 0
honggaoyan 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	honggaoyan 17 楼有人要注册，我回一个 2013-9-6 09:22 0
诶一雪币： 10 活跃值： (231) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 176 粉丝 2 关注私信	诶一 18 楼我也是一直running 一点没反应，等半天了，不过那说明我真有点看的云里雾里， 2013-9-6 09:32 0
xiaowz 雪币： 118 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 195 粉丝 0 关注私信	xiaowz 19 楼是啊，反复测试了好几次，都是这样，卡在那不动了，一直提示running，估计是有bug。 2013-9-6 09:41 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 20 楼好东西，支持 2013-9-6 13:45 0
梁萧雪币： 813 活跃值： (175) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 104 粉丝 9 关注私信	梁萧 1 21 楼首次上传的ida.idc脚本有点小问题，现已纠正 V1.1版修正以下两个问题： 1、在个别函数内部运行脚本会出现一直runing的情况 2、有的函数体内部就一条jmp指令这种特殊函数引起的问题（Debug版的程序这种函数尤其多）非常感谢以上各位道友反馈出的问题，各位相互转告下，下载V1.1版本上传的附件： ida_scriptV1.1.rar （2.37kb，73次下载） 2013-9-6 13:54 0
梁萧雪币： 813 活跃值： (175) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 104 粉丝 9 关注私信	梁萧 1 22 楼看到大家支持，很开心~ 2013-9-6 13:56 0
破九雪币： 19 活跃值： (74) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 287 粉丝 1 关注私信	破九 23 楼支持一下，share spirit值得肯定！ 2013-9-6 14:01 0
怕天亮雪币： 645 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 259 粉丝 0 关注私信	怕天亮 24 楼果断顶起果断下载多谢LZ 2013-9-6 21:33 0
Tebox 雪币： 1088 活跃值： (30) 能力值： ( LV3，RANK：20 ) 在线值：发帖 30 回帖 242 粉丝 0 关注私信	Tebox 25 楼这个脚本好使 2013-9-6 22:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复