首页
社区
课程
招聘
[原创] 如何分析一个stripped ELF?这款IDA插件来帮忙
发表于: 2022-12-1 00:04 12446

[原创] 如何分析一个stripped ELF?这款IDA插件来帮忙

2022-12-1 00:04
12446


这两天有闲心了就把去年写的几个脚本整合成了一个 IDA 插件,希望对在座各位有所帮助。

分析 IOT 样本时经常会遇见被剥离符号的样本文件,此时如果直接进行分析则非常困难,所以需要还原其函数来帮助我们进行分析。
这里放两张图对比使用插件前后,还原前甚至可以说是完全无法进行分析的:

SysNR-FuncFinder 这款 IDA 插件使用的方法是通过 Linux System Call Table 进行还原(此处不进行详细讲解了,大家可以自行搜索 system call 的相关文章)
简单来说是分析不同架构的汇编代码,然后使用 IDA Python 提取系统调用号,最后对应不同架构调用号的对应函数名进行 IDA 函数的重命名即可。


[注意]看雪招聘,专注安全领域的专业人才平台!

收藏
免费 5
支持
分享
最新回复 (5)
雪    币: 1595
活跃值: (3559)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
2
感谢作者,但是7.5 python3 报了个错,module 'idc' has no attribute 'Dword'
2022-12-1 09:52
0
雪    币: 2087
活跃值: (3505)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
测试多个 IDA7.5 无异常,请确认 IDA 使用的 python 版本也是 python3。
2022-12-1 10:45
0
雪    币: 6297
活跃值: (5316)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
WPeace 测试多个 IDA7.5 无异常,请确认 IDA 使用的 python 版本也是 python3。

2楼说的是对的,因为你的脚本api是旧版本的,api变动链接:96dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5k6i4S2Q4x3X3c8J5j5i4W2K6i4K6u0W2j5$3!0E0i4K6u0r3M7s2u0G2k6s2g2U0N6s2y4Q4x3V1k6A6k6r3q4Q4x3V1k6K6N6i4m8H3L8%4u0@1i4K6u0r3K9h3c8S2y4K6c8Q4y4h3k6A6k6r3q4H3P5i4c8Z5L8$3&6Q4y4h3k6F1L8#2)9#2k6X3u0U0y4U0V1#2i4K6g2X3M7r3!0J5N6r3W2F1k6#2)9#2k6X3N6#2K9h3c8W2i4K6u0W2M7$3S2@1L8h3H3`.
建议更新下api
你可以试下网上的ida7.7,跑你的插件一直报错


建议增加arm64支持

最后于 2022-12-1 16:49 被mb_rjdrqvpa编辑 ,原因:
2022-12-1 13:14
0
雪    币: 2087
活跃值: (3505)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
5
mb_rjdrqvpa 2楼说的是对的,因为你的脚本api是旧版本的,api变动链接:d39K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5k6i4S2Q4x3X3c8J5j5i4W2K6i4K6u0W2j5$3!0E0i4K6u0r3M7s2u0G2k6s2g2U0N6s2y4Q4x3V1k6A6k6r3q4Q4x3V1k6K6N6i4m8H3L8%4u0@1i4K6u0r3K9h3c8S2y4K6c8Q4y4h3k6A6k6r3q4H3P5i4c8Z5L8$3&6Q4y4h3k6F1L8#2)9#2k6X3u0U0y4U0V1#2i4K6g2X3M7r3)9`. ...
刚才测试了下7.7,知道原因了,之后会在github更新兼容。API更新我是知道的,但是因为插件调用的脚本是一年前写的,所以脚本里的有些API未更新。谢谢楼上的兄弟们!
2022-12-1 14:34
0
雪    币: 2087
活跃值: (3505)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
6
已更新1.1版本,更新IDA API修复兼容性。
如有问题还原大家留言! : )
2022-12-1 15:42
0
游客
登录 | 注册 方可回帖
返回