[原创]IDA Python脚本半自动识别call dword[xxxx] jmp dword[xxxx]调用的系统函数-加壳脱壳-看雪-安全社区|安全招聘|kanxue.com

[原创]IDA Python脚本半自动识别call dword[xxxx] jmp dword[xxxx]调用的系统函数

发表于: 2019-3-4 21:59 15968

[原创]IDA Python脚本半自动识别call dword[xxxx] jmp dword[xxxx]调用的系统函数

半个大西瓜

活跃值

2019-3-4 21:59

15968

背景：

平时分析静态Dump的时候容易遇到 FF 15 Call DWORD[xxxx] 和 FF 2C Jmp DWORD[xxxx]指令来调用系统函数，如果想知道调用的哪一个函数则要查具体的模块和导出函数，这个脚本就是半自动的重命名这些函数
用法：
1、修改脚本中外挂进程加载的模块路径和模块基址GetCurrentExportFunction("C:\\Windows\\SysWOW64\\ntdll.dll", 0x77b00000)
2、64位IDA还需要修改脚本GetCallAddr() GetJmpAddr()函数中的ida_bytes.get_dword为ida_bytes.get_qword

效果:

使用前

使用后

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

EFunctionDiscern.py （2.58kb，95次下载）

收藏・24

免费・1

支持

分享

最新回复 (8)
jgs 雪币： 8635 活跃值： (4825) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 446 粉丝 7 关注私信	jgs 2 楼楼主辛苦，ida用的少 2019-3-4 22:09 0
bbsshop 雪币： 123 活跃值： (1675) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 86 粉丝 4 关注私信	bbsshop 3 楼楼主辛苦+1 2019-3-5 10:36 0
xiaohang 雪币： 2089 活跃值： (3111) 能力值： (RANK：260 ) 在线值：发帖 20 回帖 212 粉丝 81 关注私信	xiaohang 3 4 楼谢谢分享 2019-3-5 11:53 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 5 楼 jgs 楼主辛苦，ida用的少你平时一般用od么？ida不是更强大么 2019-4-3 22:23 0
Second 雪币： 608 活跃值： (91) 能力值： ( LV4，RANK：50 ) 在线值：发帖 13 回帖 179 粉丝 0 关注私信	Second 1 6 楼 GetCurrentExportFunction("C:\\Windows\\SysWOW64\\ntdll.dll", 0x77b00000) 这个 0x77b00000 地址是怎么来的??? 2019-4-11 14:40 0
wngbx 雪币： 215 活跃值： (44) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	wngbx 7 楼谢谢分享,有python就强大 2020-11-30 11:49 0
半个大西瓜雪币： 1411 活跃值： (697) 能力值： ( LV3，RANK：20 ) 在线值：发帖 5 回帖 26 粉丝 7 关注私信	半个大西瓜 8 楼 Second GetCurrentExportFunction("C:\\Windows\\SysWOW64\\ntdll.dll", 0x77b00000) 这个 0x77b00000 地 ... 有进程快照，知道各个模块的加载基址 2021-3-8 20:53 0
~时光荏苒雪币： 5205 活跃值： (4688) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 153 粉丝 5 关注私信	~时光荏苒 9 楼不错! 2021-3-8 22:03 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

返回

半个大西瓜

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

//