IDC脚本中的函数必须要有返回值。在IDC脚本中,支持两类函数:
内建函数
用户自定义函数
用户自定义函数一般是像下面这样的方式写的:
需要注意的一点是,声明函数参数的时候,没必要指定函数参数的类型了,因为IDC会根据你传入的参数自动进行参数类型转换的。
默认情况下,函数调用的时候参数传递是按值传递的,但是以下三种情况例外(引用传递):
对象类型的参数总是使用引用方式传参
函数类型的参数总是使用应用方式传参
还可以强制使用 & 符号来让参数使用引用方式传参
如果IDC脚本中调用的函数不存在,IDA就会尝试解析并使用当前被调试的进程中的符号或者标签,如果解析成功,那么就会执行一次 AppCall(AppCall稍后会进一步解释)
首先需要明确一点,AppCall是IDC脚本中的一个内建函数
先来看函数原型
功能:调用被调试进程的函数
参数:ea - 调用的函数地址
参数:type - 调用的函数的类型或者说方式,支持三种调用形式
字符串形式,比如:“int func(void);”
类型对象形式,比如:GetTinfo(ea)
零:相当于让IDA自行决定,这种情况下,类型一般是从idb中进行获取的
参数:..., 这个是可变参数,用来传递你要调用的函数的参数
返回值:被调用函数的返回值
Remark:如果函数调用失败,并且失败的原因是内存访问异常或者其他异常,脚本会抛出一个runtime错误信息,可以在脚本中使用 try/catch 进行异常捕获。在实际的使用过程中,很少使用AppCall这个函数调用,只是说IDA拥有这种在IDC脚本中存在未知函数的时候尝试在被调试进程中匹配符号的能力,举个例子:_printf("hello\n") 这条语句会调用被分析程序的 _printf 函数
AppCall函数有2个选项可以使用,我们可以在IDC脚本中使用 SetAppcallOptions宏进行设置:
#define APPCALL_MANUAL 0x0001
只设置AppCall, 不执行,执行完毕之后,需要调用一次 CleanupAppcall
#define APPCALL_DEBEV 0x0002
返回调试详细信息, 如果设置了这个标志位,当AppCall执行过程中发生异常的时候,会生成一个包含详细异常信息的异常对象
#define APPCALL_TIMEOUT 0x0004
AppCall调用的超时时间, 超时时间是以毫秒为单位的,并且值是放在option的高2位字节中,如果AppCall调用超时,错误信息会放到 errbuf中,并且值是字符串 timeout
#define SET_APPCALL_TIMEOUT(x) ((x<<16)|0x0004)
指定AppCall超时时间的时候,需要拼装option的值,这个就是一个辅助宏,用来生成option的值
使用AppCall这个功能,可以很随意的调用被调试进程内的函数而不需要进行任何的dll注入或者修改被调试进程的内存,如果被调用的函数名称存在的话,AppCall还可以简化成 func(args)的形式,前提是func这个符号是存在的,举个例子:
上面这段代码将会在被调试进程内创建一个OSVERSIONINFOA结构体,并且将结构体地址传递给GetVersionExA调用,调用完毕之后,verinfo 对象就被转换成了IDC对象,内存结构如下:
其中_at_属性表示这个结构体的内存地址,在这个例子中verinfo是一个临时变量,所以_at_的值意义不大,大家在使用使用的过程中可能会遇到这个值很有用的情况。
AppCall会自动在IDC对象和C对象之间进行转换,转换的时候依据IDA中拥有的类型信息来进行,但是还要遵循以下几个转换规则:
基本数据类型:
如果目标数据类型也是一个基本数据类型(非指针),只需要执行简单的转换即可(附带符号处理或者截断处理),比如: IDC中的值-1转换成 _int32(0xFFFFFFFF),IDC中的0x555转换成 _int8(0x55)
指针:
如果目标类型是一个指针,并且IDC的值是一个字符串,这个字符串就转换成一个指针对象,字符串的内容直接拷贝到被调试进程,后面追加一个结束符 \0
如果对应的IDC的值是一个数字,转换之后的结果是指针所指向的内存的值是这个数值,如果你想得到一个数值的地址,可以直接使用 &符号
如果对应的IDC值不是字符串,那这个值将会转换成一个对象,指针指向的内存使用这个对象进行初始化
结构体
如果目标类型是一个结构体,IDA会通过对应的属性来尝试一个一个的初始化结构体的成员。比如:在上面的例子中只有dwOSVersionInfoSize 属性存在,那么这个结构体字段就使用这个属性类初始化,对于不存在的字段直接初始化成0
数组
数组的每个元素都是单独初始化的,当然如果对应的IDC值是字符串除外,因为字符串本身就是可以当成一个完整的数组来使用的。
下面针对上述的几种情况,我们来举一些例子:
调用printf
调用sscanf
结构体使用
另外,_userCall 这个内建调用也是支持这些自动转换的
对于会发生异常的调用,配合APPCALL_MANUAL 标志位,可以实现单步的效果,具体方式还需要大家仔细去研究一下.
static func(arg1,arg2,arg3)
{
statements ...
}
anyvalue Appcall(ea, type, ...);
verinfo = object();
verinfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFOA);GetVersionExA(&verinfo);
object
__at__: 18FEB0h
dwBuildNumber: 7600.
dwMajorVersion: 6.
dwMinorVersion: 1.
dwOSVersionInfoSize:
dwPlatformId: 2.
szCSDVersion: "\x00\x00\x00\x00..."
auto n = 5;
auto s = "short";
_printf("Hello world, number is %d, string is %s\n", n, s);auto x;
auto nsuccess = _sscanf(s, "%d", &x);
verinfo = object(); GetVersionExA(verinfo);
IDC脚本中的函数必须要有返回值。在IDC脚本中,支持两类函数:
内建函数
用户自定义函数
-
用户自定义函数一般是像下面这样的方式写的:
static func(arg1,arg2,arg3)
{
statements ...
}
需要注意的一点是,声明函数参数的时候,没必要指定函数参数的类型了,因为IDC会根据你传入的参数自动进行参数类型转换的。
默认情况下,函数调用的时候参数传递是按值传递的,但是以下三种情况例外(引用传递):
对象类型的参数总是使用引用方式传参
函数类型的参数总是使用应用方式传参
还可以强制使用 & 符号来让参数使用引用方式传参
如果IDC脚本中调用的函数不存在,IDA就会尝试解析并使用当前被调试的进程中的符号或者标签,如果解析成功,那么就会执行一次 AppCall(AppCall稍后会进一步解释)
首先需要明确一点,AppCall是IDC脚本中的一个内建函数
-
先来看函数原型
anyvalue Appcall(ea, type, ...);
功能:调用被调试进程的函数
参数:ea - 调用的函数地址
参数:type - 调用的函数的类型或者说方式,支持三种调用形式
字符串形式,比如:“int func(void);”
类型对象形式,比如:GetTinfo(ea)
零:相当于让IDA自行决定,这种情况下,类型一般是从idb中进行获取的
参数:..., 这个是可变参数,用来传递你要调用的函数的参数
返回值:被调用函数的返回值
Remark:如果函数调用失败,并且失败的原因是内存访问异常或者其他异常,脚本会抛出一个runtime错误信息,可以在脚本中使用 try/catch 进行异常捕获。在实际的使用过程中,很少使用AppCall这个函数调用,只是说IDA拥有这种在IDC脚本中存在未知函数的时候尝试在被调试进程中匹配符号的能力,举个例子:_printf("hello\n") 这条语句会调用被分析程序的 _printf 函数
AppCall函数有2个选项可以使用,我们可以在IDC脚本中使用 SetAppcallOptions宏进行设置:
-
#define APPCALL_MANUAL 0x0001
-
#define APPCALL_DEBEV 0x0002
-
#define APPCALL_TIMEOUT 0x0004
-
#define SET_APPCALL_TIMEOUT(x) ((x<<16)|0x0004)
-
使用AppCall这个功能,可以很随意的调用被调试进程内的函数而不需要进行任何的dll注入或者修改被调试进程的内存,如果被调用的函数名称存在的话,AppCall还可以简化成 func(args)的形式,前提是func这个符号是存在的,举个例子:
verinfo = object();
verinfo.dwOSVersionInfoSize = sizeof(OSVERSIONINFOA);GetVersionExA(&verinfo);
上面这段代码将会在被调试进程内创建一个OSVERSIONINFOA结构体,并且将结构体地址传递给GetVersionExA调用,调用完毕之后,verinfo 对象就被转换成了IDC对象,内存结构如下:
object
__at__: 18FEB0h
dwBuildNumber: 7600.
dwMajorVersion: 6.
dwMinorVersion: 1.
dwOSVersionInfoSize:
dwPlatformId: 2.
szCSDVersion: "\x00\x00\x00\x00..."
其中_at_属性表示这个结构体的内存地址,在这个例子中verinfo是一个临时变量,所以_at_的值意义不大,大家在使用使用的过程中可能会遇到这个值很有用的情况。
AppCall会自动在IDC对象和C对象之间进行转换,转换的时候依据IDA中拥有的类型信息来进行,但是还要遵循以下几个转换规则:
-
基本数据类型:
-
指针:
如果目标类型是一个指针,并且IDC的值是一个字符串,这个字符串就转换成一个指针对象,字符串的内容直接拷贝到被调试进程,后面追加一个结束符 \0
如果对应的IDC的值是一个数字,转换之后的结果是指针所指向的内存的值是这个数值,如果你想得到一个数值的地址,可以直接使用 &符号
如果对应的IDC值不是字符串,那这个值将会转换成一个对象,指针指向的内存使用这个对象进行初始化
-
结构体
-
数组
下面针对上述的几种情况,我们来举一些例子:
-
调用printf
auto n = 5;
auto s = "short";
_printf("Hello world, number is %d, string is %s\n", n, s);
-
调用sscanf
auto x;
auto nsuccess = _sscanf(s, "%d", &x);
-
结构体使用
verinfo = object(); GetVersionExA(verinfo);
另外,_userCall 这个内建调用也是支持这些自动转换的
对于会发生异常的调用,配合APPCALL_MANUAL 标志位,可以实现单步的效果,具体方式还需要大家仔细去研究一下.
功能:调用被调试进程的函数
参数:ea - 调用的函数地址
参数:type - 调用的函数的类型或者说方式,支持三种调用形式
字符串形式,比如:“int func(void);”
类型对象形式,比如:GetTinfo(ea)
零:相当于让IDA自行决定,这种情况下,类型一般是从idb中进行获取的
参数:..., 这个是可变参数,用来传递你要调用的函数的参数
返回值:被调用函数的返回值
Remark:如果函数调用失败,并且失败的原因是内存访问异常或者其他异常,脚本会抛出一个runtime错误信息,可以在脚本中使用 try/catch 进行异常捕获。在实际的使用过程中,很少使用AppCall这个函数调用,只是说IDA拥有这种在IDC脚本中存在未知函数的时候尝试在被调试进程中匹配符号的能力,举个例子:_printf("hello\n") 这条语句会调用被分析程序的 _printf 函数
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
