首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. IDA Pro插件区
    3. 发新帖
[原创]ShellCode Locator for IDA 5.2
2008-9-17 13:31 8865

[原创]ShellCode Locator for IDA 5.2

zrhai 活跃值
2008-9-17 13:31
8865
写了一下 IDA plugin, 便于在分析 exploit 样本 (比如 office、ani、jpg) 时定位 ShellCode。附件中是插件文件及源码。

使用方法:
将附件中的 ShellCodeLocator.plw 拷贝到 %IDADIR%\plugins 目录下,用 IDA 加载 exploit 样本,Edit->Plugins->Locate ShellCode。此时在 IDA 的 Names 子窗口中会显示出所有可能的 ShellCode 位置,名字如下:

PossibleSC_{Num}

没什么技术含量,就图个方便,还望各位指教。

[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

上传的附件:
收藏
点赞7
打赏
分享
最新回复 (5)
fireworld
雪    币: 185
活跃值: (405)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
fireworld 2008-9-17 13:50
2
0
[QUOTE=;]...[/QUOTE]
传说中的密码?
gagemel
雪    币: 223
活跃值: (52)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
gagemel 2008-9-17 20:35
3
0
password-protected?
zrhai
雪    币: 230
活跃值: (106)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
zrhai 2008-9-17 22:56
4
0
压缩软件设置了默认密码,现在去掉密码了
gagemel
雪    币: 223
活跃值: (52)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
gagemel 2008-9-17 23:49
5
0
zrhai..
your plugin seems not working.
there is no Locate ShellCode plugin in Edit->Plugins->
so i tried to compile  your source.
but my own compiled plugin also not in Edit->Plugins-> menu
have you tested it reallly?
zrhai
雪    币: 230
活跃值: (106)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
zrhai 2008-9-18 12:35
6
0
我测试过,没问题。
代码里屏蔽了 PE 和 ELF 文件,如下:
int idaapi init(void)
{
  if ((inf.filetype==f_ELF) || (inf.filetype==f_PE) ) return PLUGIN_SKIP;

  msg(">>%s\n", comment);
  return (PLUGIN.flags & PLUGIN_UNL) ? PLUGIN_OK : PLUGIN_KEEP;
}
因为这种文件应该不会是 exploit,所以打开这种文件不会有对应菜单。
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回