[原创]最近写的IDA脚本loadmap 1.0(方便Delphi程序分析)-IDA Pro插件区-看雪-安全社区|安全招聘|kanxue.com

[原创]最近写的IDA脚本loadmap 1.0(方便Delphi程序分析)

发表于: 2009-4-19 07:51 28422

[原创]最近写的IDA脚本loadmap 1.0(方便Delphi程序分析)

jackozoo

2009-4-19 07:51

28422

对于Delphi程序的分析, 好多人选择DeDe, 我也认为DeDe对Delphi的分析很好, 但在像我这样的菜鸟看来,DeDe有一个地方没有IDA做的好.

IDA的"鼠标单击处同时高亮"这个功能是我最喜欢的, 某些时候,在分析程序时,我们通过这些高亮的东西之间的关系流程,可以很轻易很快速的知道这部分代码在干什么, 而DeDe却只能整行选择, 我们只有通过肉眼慢慢的看. DeDe另外一个我个人觉得不是太好的地方是:在它的反汇编中,每个Reference都占了3行,这有时候打乱了代码的整洁性,阅读起来没有IDA舒服. 虽然用DeDe也能达到目的, 但对于我这样的菜鸟来说要多花不少时间.

所以我一直想能否让IDA最大限度的完成或优化DeDe的功能了? (其实我不是很明白为什么IDA不对Delphi的某些函数进行自动分析)

我在看雪上搜索了一圈, 发现有的朋友是直接使用DeDe分析; 有的朋友是先使用DeDe导出map文件, 然后使用map2sym插件将map转换为sym符号文件, 然后再用IDA的loadsym脚本来装载刚才的sym文件.我试了一下, 发现效果并不好.原因是loadsym只是简单在每个地址前面加上一个标签, 基本上就是把DeDe的Reference搬过来了,我个人觉得它把代码打乱了.

其实DeDe的给我们的信息中,无外乎以下几种:
1. 控件ID.(如 Edit1:TEdit)
2. 系统函数.(如 system.@LStrCmp;)
3. 窗体事件或子过程.(如 TfrmReg@BitBtn1Click)
4. 这种函数.(controls.TControl.GetText(TControl):TCaption;)
再加上其他的一些特殊函数.

那我所想做的就是在IDA中对这些事件,函数,控件ID等正确的命名. 以达到代码简洁便于阅读的目的.我花了一些时间,写了这个很烂的idc, 名为loadmap.idc . 版本1.0 . 因为完全是为了写这个脚本才去学习了一下idc的编写. 所以代码写的很烂, 大家在使用的过程中如果发现了错误或者不好的地方,希望可以提出来,或者自己修改下发布出来共享给看雪里的各位兄弟.

P.S:我一直在担心我这个loadmap脚本写出来到底会不会有用, 因为很有可能其他的人就写过类似的东西来处理Delphi的程序,只是我不知道而已. 不过我想就当是自己熟练一下idc也好. 当然我希望这个超级简单的脚本能给大家带来一点用处, 毕竟编写及测试还是花了些时间的.

工作原理: 这个脚本主要是通过在IDA中增加名字,增加函数,增加注释这三种途径来达到我的目的的.

下面我贴三段代码来对比一下:

1.直接IDA反汇编:(取控件文本)-->信息不清.
CODE:0048254B 8D 55 FC       lea    edx, [ebp-4]
CODE:0048254E 8B 83 E0 02 00 00 mov    eax, [ebx+2E0h]
CODE:00482554 E8 4F 00 FB FF call sub_4325A8

2.使用IDA自带的loadsym.(取控件文本)-->代码分散,看着不舒服.
CODE:00453905                Edit1_TEdit:
CODE:00453905 8B 83 F8 02 00 00 mov    eax, [ebx+2F8h]
CODE:0045390B
CODE:0045390B                Controls_TControl_GetText:
CODE:0045390B E8 3C F1 FD FF call sub_432A4C

3.使用loadmap之后:(取控件文本)-->这样看就好多了.
CODE:0048254B 8D 55 FC       lea    edx, [ebp+var_4]
CODE:0048254E 8B 83 E0 02 00 00 mov    eax, [ebx+2E0h]    ; Edit1:TEdit
CODE:00482554 E8 4F 00 FB FF call TControl_GetText    ; controls.TControl.GetText(TControl):TCaption;

当然,其他的各种函数也能很好的显示. 如
窗体事件(内置的以及自定义的等)
CODE:00482528
CODE:00482528 ; =============== S U B R O U T I N E =======================================
CODE:00482528
CODE:00482528 ; TfrmReg@BitBtn2Click
CODE:00482528
CODE:00482528 TfrmReg@BitBtn2Click proc near
CODE:00482528                call TCustomForm_Close ; TfrmReg@BitBtn2Click
CODE:0048252D                retn
CODE:0048252D TfrmReg@BitBtn2Click endp

由于完成仓促,定有考虑不周之处, 若有,还请热心的朋友修正之, 谢谢!

脚本见附件.

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

loadmap1.0.rar （2.28kb，910次下载）

收藏・15

免费・7

支持

最新回复 (29) 1 2 ▶
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 2 楼多谢提供，下一个看看。有空测试一下。 2009-4-19 23:15 0
wofan[OCN] 雪币： 2943 活跃值： (1788) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 808 粉丝 8 关注私信	wofan[OCN] 21 3 楼看起来蛮不错，下载玩玩。 2009-4-20 06:13 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 4 楼两位大牛回帖了,好高兴 , 可惜代码乱的一团糟, 而且好像DeDe导出的map中,不能包含所有的函数, 使得IDA中某些sub_xx仍然要手改. 这次也算是比较失败了. 2009-4-20 08:37 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 5 楼下一个看看,感谢。 2009-4-20 14:58 0
share 雪币： 222 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 60 粉丝 0 关注私信	share 6 楼下来试用看看，谢谢楼主 2009-4-21 10:47 0
zrhai 雪币： 230 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 181 粉丝 0 关注私信	zrhai 7 楼谢谢分享，下来试试。 2009-4-21 13:07 0
moodykeke 雪币： 496 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 242 粉丝 0 关注私信	moodykeke 8 楼超帅气。用了下，很满意。 2009-4-25 14:53 0
kbs 雪币： 426 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 75 粉丝 0 关注私信	kbs 9 楼 nice work 2009-4-26 18:55 0
陳明展雪币： 161 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 703 粉丝 0 关注私信	陳明展 10 楼期待改良作品! 感恩. 2009-4-27 07:41 0
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 11 楼正打算看delphi的程序, 试一下. 非常感谢. 2009-4-29 10:17 0
xihuanxue 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	xihuanxue 12 楼多谢楼主的好脚本 2009-4-29 10:40 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 13 楼很诱人，收藏了 2009-5-2 10:05 0
loudy 雪币： 2548 活跃值： (965) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 42 回帖 226 粉丝 1 关注私信	loudy 10 14 楼支持楼主。。。。 2009-5-3 10:15 0
xiakexing 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	xiakexing 15 楼刚开始学DELPHI，现在还不知道怎么用脚本呢！ 2009-5-5 12:11 0
dasnow 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	dasnow 16 楼看起来是一个不错的东东，多谢楼主共享。 2009-5-8 13:20 0
空手剑客雪币： 559 活跃值： (587) 能力值： ( LV8，RANK：130 ) 在线值：发帖 27 回帖 61 粉丝 34 关注私信	空手剑客 3 17 楼支持一下楼主 2009-5-8 19:38 0
风尘秀吉雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 46 粉丝 0 关注私信	风尘秀吉 18 楼不错不错，谢谢楼主的好脚本！ 2009-5-10 15:28 0
greylocus 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	greylocus 19 楼我的学基础看不懂看起来很有内涵支持下 2009-5-30 17:38 0
虎哥雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	虎哥 20 楼支持原创的好东东，学习了 2009-5-31 19:31 0
星a月雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	星a月 21 楼有用，谢谢楼主了 2009-6-2 10:10 0
非虫雪币： 2307 活跃值： (1013) 能力值： (RANK：350 ) 在线值：发帖 31 回帖 412 粉丝 129 关注私信	非虫 7 22 楼看雪的人太强了 2009-6-6 00:11 0
pengxuli 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	pengxuli 23 楼测试下！！ 2009-6-13 15:53 0
xnop 雪币： 88 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 150 粉丝 0 关注私信	xnop 24 楼很实用~~~ 2009-8-31 09:34 0
jlovel 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	jlovel 25 楼这个不错，希望大牛接着更新，造福我这样的菜鸟 2010-2-23 20:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

jackozoo

发帖

775

回帖

680

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (29) 1 2 ▶
CCDebuger 雪币： 2506 活跃值： (1030) 能力值： (RANK：990 ) 在线值：发帖 390 回帖 1843 粉丝 91 关注私信	CCDebuger 24 2 楼多谢提供，下一个看看。有空测试一下。 2009-4-19 23:15 0
wofan[OCN] 雪币： 2943 活跃值： (1788) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 808 粉丝 8 关注私信	wofan[OCN] 21 3 楼看起来蛮不错，下载玩玩。 2009-4-20 06:13 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 4 楼两位大牛回帖了,好高兴 , 可惜代码乱的一团糟, 而且好像DeDe导出的map中,不能包含所有的函数, 使得IDA中某些sub_xx仍然要手改. 这次也算是比较失败了. 2009-4-20 08:37 0
zhucheba 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 375 粉丝 0 关注私信	zhucheba 5 楼下一个看看,感谢。 2009-4-20 14:58 0
share 雪币： 222 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 60 粉丝 0 关注私信	share 6 楼下来试用看看，谢谢楼主 2009-4-21 10:47 0
zrhai 雪币： 230 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 181 粉丝 0 关注私信	zrhai 7 楼谢谢分享，下来试试。 2009-4-21 13:07 0
moodykeke 雪币： 496 活跃值： (89) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 242 粉丝 0 关注私信	moodykeke 8 楼超帅气。用了下，很满意。 2009-4-25 14:53 0
kbs 雪币： 426 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 75 粉丝 0 关注私信	kbs 9 楼 nice work 2009-4-26 18:55 0
陳明展雪币： 161 活跃值： (261) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 703 粉丝 0 关注私信	陳明展 10 楼期待改良作品! 感恩. 2009-4-27 07:41 0
xygwf 雪币： 91 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 126 粉丝 0 关注私信	xygwf 11 楼正打算看delphi的程序, 试一下. 非常感谢. 2009-4-29 10:17 0
xihuanxue 雪币： 38 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 49 粉丝 0 关注私信	xihuanxue 12 楼多谢楼主的好脚本 2009-4-29 10:40 0
clide2000 雪币： 301 活跃值： (300) 能力值： ( LV9，RANK：290 ) 在线值：发帖 56 回帖 1209 粉丝 2 关注私信	clide2000 7 13 楼很诱人，收藏了 2009-5-2 10:05 0
loudy 雪币： 2548 活跃值： (965) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 42 回帖 226 粉丝 1 关注私信	loudy 10 14 楼支持楼主。。。。 2009-5-3 10:15 0
xiakexing 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	xiakexing 15 楼刚开始学DELPHI，现在还不知道怎么用脚本呢！ 2009-5-5 12:11 0
dasnow 雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 30 粉丝 0 关注私信	dasnow 16 楼看起来是一个不错的东东，多谢楼主共享。 2009-5-8 13:20 0
空手剑客雪币： 559 活跃值： (587) 能力值： ( LV8，RANK：130 ) 在线值：发帖 27 回帖 61 粉丝 34 关注私信	空手剑客 3 17 楼支持一下楼主 2009-5-8 19:38 0
风尘秀吉雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 46 粉丝 0 关注私信	风尘秀吉 18 楼不错不错，谢谢楼主的好脚本！ 2009-5-10 15:28 0
greylocus 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	greylocus 19 楼我的学基础看不懂看起来很有内涵支持下 2009-5-30 17:38 0
虎哥雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	虎哥 20 楼支持原创的好东东，学习了 2009-5-31 19:31 0
星a月雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 40 粉丝 0 关注私信	星a月 21 楼有用，谢谢楼主了 2009-6-2 10:10 0
非虫雪币： 2307 活跃值： (1013) 能力值： (RANK：350 ) 在线值：发帖 31 回帖 412 粉丝 129 关注私信	非虫 7 22 楼看雪的人太强了 2009-6-6 00:11 0
pengxuli 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 21 粉丝 0 关注私信	pengxuli 23 楼测试下！！ 2009-6-13 15:53 0
xnop 雪币： 88 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 150 粉丝 0 关注私信	xnop 24 楼很实用~~~ 2009-8-31 09:34 0
jlovel 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 13 粉丝 0 关注私信	jlovel 25 楼这个不错，希望大牛接着更新，造福我这样的菜鸟 2010-2-23 20:53 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复