这两天有闲心了就把去年写的几个脚本整合成了一个 IDA 插件,希望对在座各位有所帮助。
分析 IOT 样本时经常会遇见被剥离符号的样本文件,此时如果直接进行分析则非常困难,所以需要还原其函数来帮助我们进行分析。这里放两张图对比使用插件前后,还原前甚至可以说是完全无法进行分析的:
SysNR-FuncFinder 这款 IDA 插件使用的方法是通过 Linux System Call Table 进行还原(此处不进行详细讲解了,大家可以自行搜索 system call 的相关文章)简单来说是分析不同架构的汇编代码,然后使用 IDA Python 提取系统调用号,最后对应不同架构调用号的对应函数名进行 IDA 函数的重命名即可。
[注意]看雪招聘,专注安全领域的专业人才平台!
WPeace 测试多个 IDA7.5 无异常,请确认 IDA 使用的 python 版本也是 python3。
2楼说的是对的,因为你的脚本api是旧版本的,api变动链接:96dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5k6i4S2Q4x3X3c8J5j5i4W2K6i4K6u0W2j5$3!0E0i4K6u0r3M7s2u0G2k6s2g2U0N6s2y4Q4x3V1k6A6k6r3q4Q4x3V1k6K6N6i4m8H3L8%4u0@1i4K6u0r3K9h3c8S2y4K6c8Q4y4h3k6A6k6r3q4H3P5i4c8Z5L8$3&6Q4y4h3k6F1L8#2)9#2k6X3u0U0y4U0V1#2i4K6g2X3M7r3!0J5N6r3W2F1k6#2)9#2k6X3N6#2K9h3c8W2i4K6u0W2M7$3S2@1L8h3H3`.建议更新下api你可以试下网上的ida7.7,跑你的插件一直报错
建议增加arm64支持
mb_rjdrqvpa 2楼说的是对的,因为你的脚本api是旧版本的,api变动链接:d39K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Z5k6i4S2Q4x3X3c8J5j5i4W2K6i4K6u0W2j5$3!0E0i4K6u0r3M7s2u0G2k6s2g2U0N6s2y4Q4x3V1k6A6k6r3q4Q4x3V1k6K6N6i4m8H3L8%4u0@1i4K6u0r3K9h3c8S2y4K6c8Q4y4h3k6A6k6r3q4H3P5i4c8Z5L8$3&6Q4y4h3k6F1L8#2)9#2k6X3u0U0y4U0V1#2i4K6g2X3M7r3)9`. ...