首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. IDA Pro插件区
    3. 发新帖
[原创]ShellCode Locator for IDA 5.2
发表于: 2008-9-17 13:31 9307

[原创]ShellCode Locator for IDA 5.2

zrhai 活跃值
2008-9-17 13:31
9307

写了一下 IDA plugin, 便于在分析 exploit 样本 (比如 office、ani、jpg) 时定位 ShellCode。附件中是插件文件及源码。

使用方法:
将附件中的 ShellCodeLocator.plw 拷贝到 %IDADIR%\plugins 目录下,用 IDA 加载 exploit 样本,Edit->Plugins->Locate ShellCode。此时在 IDA 的 Names 子窗口中会显示出所有可能的 ShellCode 位置,名字如下:

PossibleSC_{Num}

没什么技术含量,就图个方便,还望各位指教。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (5)
fireworld
雪    币: 185
活跃值: (477)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
[QUOTE=;]...[/QUOTE]
传说中的密码?
2008-9-17 13:50
0
gagemel
雪    币: 13
活跃值: (72)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
password-protected?
2008-9-17 20:35
0
zrhai
雪    币: 230
活跃值: (106)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
压缩软件设置了默认密码,现在去掉密码了
2008-9-17 22:56
0
gagemel
雪    币: 13
活跃值: (72)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
zrhai..
your plugin seems not working.
there is no Locate ShellCode plugin in Edit->Plugins->
so i tried to compile  your source.
but my own compiled plugin also not in Edit->Plugins-> menu
have you tested it reallly?
2008-9-17 23:49
0
zrhai
雪    币: 230
活跃值: (106)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
6
我测试过,没问题。
代码里屏蔽了 PE 和 ELF 文件,如下:
int idaapi init(void)
{
  if ((inf.filetype==f_ELF) || (inf.filetype==f_PE) ) return PLUGIN_SKIP;

  msg(">>%s\n", comment);
  return (PLUGIN.flags & PLUGIN_UNL) ? PLUGIN_OK : PLUGIN_KEEP;
}
因为这种文件应该不会是 exploit,所以打开这种文件不会有对应菜单。
2008-9-18 12:35
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//