首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
13
[原创]使用IDAPython开发复制RVA的插件
发表于: 2022-12-28 22:28 15543

[原创]使用IDAPython开发复制RVA的插件

xingjunjie 活跃值
2022-12-28 22:28
15543

在逆向的过程中经常遇到一个问题,由于ASLR的原因,IDA中代码的基地址跟x64dbg等调试器中的对应不起来。一般情况下大家都会选择禁用掉ASLR或者修改IDA中的镜像基地址,但是这两种方式都缺点,禁用ASLR可能对dll没有用,改IDA中的基地址的话需要每次调试都要重新改一下。我一直比较纳闷IDA为什么没有直接加一个复制RVA和跳转到RVA的功能(但是却有个跳转到文件偏移的功能),网上找了一下也没有发现有啥插件能实现这个功能,没办法只能自己动手丰衣足食了,同时简单记录一下开发过程。
搭建开发环境比较简单,IDE选择的是VSCode+Python插件,想要VSC能识别到IDAPython的接口,需要在启动前先设置PYTHONPATH环境变量指向IDA目录下的“python\3”这个目录,然后就可以正常的开发IDAPython代码了,对IDAPython的模块也可以有代码提示。
然后是找IDAPython的API,这个官网上的文档非常粗糙,基本上就是把注释弄出来搞成了个文档,还不如直接看API的注释。后来发现了这个repo:idapython-cheatsheet,有一定的帮助,但是没有找到获取光标所在位置的地址的方法。后来想到keypatch中有用到这个功能,于是去翻了一下代码:

这个get_screen_ea()就是获取光标位置地址的方法。除此之外怎样在右键菜单中添加菜单项的代码也有了,基本上照着写就行。
完成后的基本功能有三个,可以在反汇编界面和F5界面直接右键复制当前位置的VA、RVA、x64dbg格式的RVA,也就是RVA开头加了个“:$”。

完整代码地址:https://github.com/junjiexing/XCopy,直接下载zip然后把XCopy.py放到IDA的plugins目录即可。

# handler for Patcher menu
def patcher(self):
    # be sure that this arch is supported by Keystone
    if self.kp_asm.arch is None:
        warning("ERROR: Keypatch cannot handle this architecture (unsupported by Keystone), quit!")
        return
 
    selection, addr_begin, addr_end = read_range_selection()
    if selection:
        # call Fill Range function on this selected code
        return self.fill_range()
 
    address = get_screen_ea()
 
    if self.opts is None:
        self.load_configuration()
 
    init_assembly = None
    while True:
        f = Keypatch_Patcher(self.kp_asm, address, assembly=init_assembly, opts=self.opts)
        ok = f.Execute()
# handler for Patcher menu
def patcher(self):
    # be sure that this arch is supported by Keystone
    if self.kp_asm.arch is None:
        warning("ERROR: Keypatch cannot handle this architecture (unsupported by Keystone), quit!")
        return
 
    selection, addr_begin, addr_end = read_range_selection()
    if selection:
        # call Fill Range function on this selected code

[注意]看雪招聘,专注安全领域的专业人才平台!

收藏
免费 13
支持
分享
赞赏记录
参与人
雪币
留言
时间
一路南寻
为你点赞!
2025-3-23 04:41
東陽不列山
感谢你的贡献,论坛因你而更加精彩!
2025-3-22 02:35
mb_yfioexda
为你点赞~
2023-8-22 10:49
兔先生
为你点赞~
2023-7-12 09:53
_重黎
为你点赞~
2023-4-2 12:58
tank小王子
为你点赞~
2023-3-31 16:10
伟叔叔
为你点赞~
2023-3-18 00:03
PLEBFE
为你点赞~
2023-1-10 12:00
sfzhi
为你点赞~
2023-1-6 16:36
shishichen
为你点赞~
2023-1-4 18:20
~时光荏苒
为你点赞~
2023-1-1 14:31
zhczf
为你点赞~
2022-12-31 13:54
g0mx
为你点赞~
2022-12-30 09:10
最新回复 (7)
TkBinary
雪    币: 197
活跃值: (10398)
能力值: ( LV13,RANK:385 )
在线值:
发帖
回帖
粉丝
私信
2

谢谢分享优质插件,还有论坛有人发过类似插件. 我根据它的代码改了一下. 输出更贴合自己使用. 跟你的类似. 你的可以在右键菜单提供菜单项,另一个哥们开发的直接使用快捷键即可. (我只是把输出改成更贴合自己使用的) 原始文件好像叫做 PatternGen  论坛链接:PatternGen 这个快捷键是ALT+Z 原本是一个输出特征码的插件.提取特征码. 我依据它的代码做了少许修改,可以直接获取 VA RVA X64Dbg跳转.(不输出特征码) 插件快捷键 ALT+/.

下面是我魔改过的输出, X64DBG CTRL+G 支持 模块名.0 + 偏移 方式,跟你写的XCOPY 一样, 也支持  $ 当做前缀符号跳转. 更多X64dbg小技巧可以看下我博客. X64dbg使用小技巧 希望能帮到大家. 下列是我魔改过的输出.

下列代码直接复制下来,改为`.py`后缀. 然后放到`plugin`里面即可. 快捷键 `alt+z` 兼容性 支持最新`IDA8.2`

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
# -*- coding: utf-8 -*-
import math
 
import idaapi
import idc
#import clipboard
 
try:
    class Kp_Menu_Context(idaapi.action_handler_t):
        def __init__(self):
            idaapi.action_handler_t.__init__(self)
 
        @classmethod
        def get_name(self):
            return self.__name__
 
        @classmethod
        def get_label(self):
            return self.label
 
        @classmethod
        def register(self, plugin, label):
            self.plugin = plugin
            self.label = label
            instance = self()
            return idaapi.register_action(idaapi.action_desc_t(
                self.get_name(),  # Name. Acts as an ID. Must be unique.
                instance.get_label(),  # Label. That's what users see.
                instance  # Handler. Called when activated, and for updating
            ))
 
        @classmethod
        def unregister(self):
            """Unregister the action.
            After unregistering the class cannot be used.
            """
            idaapi.unregister_action(self.get_name())
 
        @classmethod
        def activate(self, ctx):
            # dummy method
            return 1
 
        @classmethod
        def update(self, ctx):
            if ctx.form_type == idaapi.BWN_DISASM:
                return idaapi.AST_ENABLE_FOR_FORM
            return idaapi.AST_DISABLE_FOR_FORM
 
 
    class Searcher(Kp_Menu_Context):
        def activate(self, ctx):
            self.plugin.search()
            return 1
except:
    pass
 
class GetOffsetInfo_Plugin_t(idaapi.plugin_t):
    comment = "GetOffset By IBinary"
    help = "todo"
    wanted_name = "GetOffset"
    wanted_hotkey = "ALT+/"
    flags = idaapi.PLUGIN_KEEP
 
    def init(self):
        try:
            print ("GetOffset By IBinary")
            Searcher.register(self"GetOffset")
        except:
            pass
        return idaapi.PLUGIN_KEEP
 
    def term(self):
        pass
 
    def printAvd(slef):
        print (100* "-")
 
    def formatByte(self,ea):
        return " "+"{:02X}".format(idc.get_wide_byte(ea))
 
    def calcStr(self,ea, endcount):
        hstr = ""
        firstByte = self.formatByte(ea)
        hstr += self.formatByte(ea)
        hstr = hstr + self.formatByte(ea + 1if (firstByte == "FF" or firstByte == "66" or firstByte == "67"else hstr
        #print(math.ceil(endcount - len(hstr) / 2))
        hstr = hstr + math.ceil(endcount - len(hstr) / 2* " ??" if endcount >= 2 else hstr
        return hstr
 
    def extractCode(self):
        self.printAvd()
        result = ""
        szIdbName = idc.get_idb_path();
        szIdbName = szIdbName[szIdbName.rfind("\\")+1:-4];
        base = idaapi.get_imagebase();
        here = idc.here();
        offset = here - base;
        functionName = idc.get_func_name(here);
        print ("functionName %s  Address:0x%x Offset:0x%x ImageBase:0x%x             " % (functionName,here, offset,base))
        print ("Rva = %s+0x%x    x64dbgCtrl+G = %s.0+0x%x                              " % (szIdbName,offset,szIdbName,offset))
        self.printAvd()
        # print result
        return result
 
    def run(self, arg):
        if (idc.BADADDR != idc.here()):
            copyContent = self.extractCode();
            print(copyContent)
            # clipboard.copy(copyContent)
 
 
# register IDA plugin
def PLUGIN_ENTRY():
    return GetOffsetInfo_Plugin_t();


最后于 2022-12-29 10:21 被TkBinary编辑 ,原因: 增加X64dbg小技巧
2022-12-29 10:10
0
pureGavin
雪    币: 15228
活跃值: (18608)
能力值: ( LV12,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
3
感谢分享
IDA8.2…… 我酸了
2022-12-29 10:28
0
vmtest
雪    币: 211
活跃值: (876)
能力值: ( LV9,RANK:172 )
在线值:
发帖
回帖
粉丝
私信
4
x64dbg 还有一个  :#文件偏移   可以支持一下
2022-12-29 14:44
0
无名侠
雪    币: 7010
活跃值: (9694)
能力值: ( LV17,RANK:797 )
在线值:
发帖
回帖
粉丝
私信
5
https://github.com/P4nda0s/LazyIDA
这个可以复制RVA
2022-12-29 18:01
0
yllen
雪    币: 1258
活跃值: (1439)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
缺8.2
2022-12-30 11:09
0
palkiver
雪    币: 203
活跃值: (1274)
能力值: ( LV9,RANK:195 )
在线值:
发帖
回帖
粉丝
私信
7
缺8.2
2023-3-1 17:35
0
YZJClear
雪    币: 1192
活跃值: (604)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
GetOffset By IBinary
.text:0000000182D4FE4C: Too many lines

这什么意思
2023-9-7 13:23
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回

账号登录
验证码登录

忘记密码?
没有账号?立即免费注册
我已同意 《看雪服务条款》 《看雪课程免责声明》 《看雪隐私政策》