火眼实验室的高级逆向工程（简称“FLARE”）团队继续把知识和工具分享给社区。本系列博文以一个用于“自动化恢复恶意程序中的结构化字符串”的脚本作为开头。 * * * * * * * * 像往常一样，你可以下载这些脚本，下载位置 * * * * https://github.com/fireeye/flare-ida 。 我们真诚地希望这些脚本能对你有所帮助。 * * * * * * * * * *

* * *

*

一、动机

*

* * * * * * * * 在FLARE团队暑假实习期间（PS：唉，俺是没机会了，路费太贵了！），我的目标是开发一个IDA python插件，用于加快在IDA Pro中的逆向工作流程。 * * * 和团队一起分析恶意代码样本时，我意识到从MSDN网站上查找函数、参数和常量等信息占用了大部分时间。由于要频繁切换到开发手册，逆向过程总是被打断 。最终，我们找到了解决方法-把MSDN信息自动整合到IDA Pro。本篇博文介绍的脚本就是用来解决这个问题的，而且接下也会介绍如何使用脚本。 * * * * * *

*

二、介绍

* * * * MSDN注释插件整合了函数、参数、返回值等信息，并以注释的形式呈现在IDA Pro反汇编列表中，尽可能的实现了信息的无缝整合。此外，该插件能够自动化重命名常量，进而加快了逆向分析的流程。该插件依赖于一个离线的XML数据库文件，它是结合微软文档和IDA类型库文件生成的。 * * * *

三、特征

* * * * * * * * 表1展示了插件能够为逆向分析专家提供的帮助。在表的左侧，你看到的是IDA Pro标准的反汇编窗口：7个参数入栈，然后调用函数CreateFileA。通常来说，一个分析师不得不从文档中查找函数、参数或常量的描述，从而 * * * * 理解这块代码是干嘛滴！为了获得常量值的可读形式，分析师需要研究相应的参数，把标准的枚举类型导入到IDA中，然后手动重命名。表的右侧显示的是我们的脚本执行后的结果，为逆向分析师提供了更多的帮助。 * * * * * *

* * * * * * * * 最明显的变化是常量能够被自动重命名。在这个例子中，40000000h被自动的转换为GENERIC_WRITE。此外，每个函数参数都被重命名为唯一值，因此相应的描述也可以被添加到反汇代码中。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课