首页
社区
课程
招聘
[原创]ShellCode Locator for IDA 5.2
发表于: 2008-9-17 13:31 9308

[原创]ShellCode Locator for IDA 5.2

2008-9-17 13:31
9308

写了一下 IDA plugin, 便于在分析 exploit 样本 (比如 office、ani、jpg) 时定位 ShellCode。附件中是插件文件及源码。

使用方法:
将附件中的 ShellCodeLocator.plw 拷贝到 %IDADIR%\plugins 目录下,用 IDA 加载 exploit 样本,Edit->Plugins->Locate ShellCode。此时在 IDA 的 Names 子窗口中会显示出所有可能的 ShellCode 位置,名字如下:

PossibleSC_{Num}

没什么技术含量,就图个方便,还望各位指教。


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 7
支持
分享
最新回复 (5)
雪    币: 185
活跃值: (477)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
[QUOTE=;]...[/QUOTE]
传说中的密码?
2008-9-17 13:50
0
雪    币: 13
活跃值: (72)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
password-protected?
2008-9-17 20:35
0
雪    币: 230
活跃值: (106)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
压缩软件设置了默认密码,现在去掉密码了
2008-9-17 22:56
0
雪    币: 13
活跃值: (72)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
zrhai..
your plugin seems not working.
there is no Locate ShellCode plugin in Edit->Plugins->
so i tried to compile  your source.
but my own compiled plugin also not in Edit->Plugins-> menu
have you tested it reallly?
2008-9-17 23:49
0
雪    币: 230
活跃值: (106)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
我测试过,没问题。
代码里屏蔽了 PE 和 ELF 文件,如下:
int idaapi init(void)
{
  if ((inf.filetype==f_ELF) || (inf.filetype==f_PE) ) return PLUGIN_SKIP;

  msg(">>%s\n", comment);
  return (PLUGIN.flags & PLUGIN_UNL) ? PLUGIN_OK : PLUGIN_KEEP;
}
因为这种文件应该不会是 exploit,所以打开这种文件不会有对应菜单。
2008-9-18 12:35
0
游客
登录 | 注册 方可回帖
返回
//