IDAPython-basic-code-snippet

IDAPython 시작하기

많이 사용되는 기본 구문

• 바이트 : idc.Byte(ea)
• 워드 : idc.Word(ea)
• 더블 워드 : idc.Dword(ea)
• 쿼드 워드 : idc.Qword(ea)
• Float : idc.GetFloat(ea)
• Double : idc.GetDouble(ea)
• 현재 커서 위치 읽어오기 : ea = idc.ScreenEA()
• 어셈블리 코드 읽어오기 : idc.GetDIsasm(ea)
• 명령어 읽어오기 : idc.GetMnem(ea)
• 인자 읽어오기 : idc.GetOpnd(ea, n)
• 인자 형식 읽어오기 : idc.GetOpType(ea, n)
• 유효 주소 확인 : if BADADDR != here():
• 섹션 출력하기 :

for seg in Segments():
    print idc.SegName(seg), idc.SegStart(seg), idc.SegEnd(seg)

• 함수 목록 출력하기

for fun in Functions():
    print hex(func), idc.GetFunctionName(func)

• 사용 가능한 함수 목록 확인하기

ea = ScreenEA()
func = idaapi.get_func(ea)
print dir(func)

• 특정 주소가 위치한 함수 영역 구하고 어셈블리 코드 출력하기

ea = ScreenEA()
func = idaapi.get_func(ea)

start = func.startEA
end = func.endEA

print "Start: 0x%x, End: 0x%x" % (start, end)

while start <= end:
    print hex(start), idc.GetDisasm(start)
    start = idc.NextHead(start, end)

• 코드 상호 참조 찾기

strcpy_addr = idc.LocByName("strcpy") # or function address
print hex(strcpy_addr), idc.GetDisasm(strcpy_addr)
for addr in CodeRefsTo(strcpy_addr, 0):
    print hex(addr), idc.GetDisasm(addr)

• 데이터 상호 참조 찾기

ea = ScreenEA()
for addr in DataRefsTo(ea):
    print hex(addr), idc.GetDisasm(addr)

• 특정 주소에 대한 상호참조 찾기 - XrefsTo, XrefsFrom

ea = ScreenEA()
for xref in XrefsTo(ea, 0): # 0 -> all, 1 -> xref 
    print xref.type, XrefTypeName(xref.type), "|", hex(xref.frm), idc.GetDisasm(xref.frm), "|", hex(xref.to), idc.GetDisasm(xref.to)

• 특정 주소에 대한 모든 상호 참조를 조회

def get_to_xrefs(ea):
    xref_set = set([])
    for xref in XrefsTo(ea, 1)
        xref_set.add(xref.frm)
    return xref_set

상호 참조에는 코드 상호 참조와 데이터 상호 참조가 있으며 쉽게 생각해서 어떤 곳에서 호출하는 지, 어떤 곳에서 접근하는 지를 나타낸다.

• Binary (Code) 검색

pattern == '55 8B EC' # PUSH ebp
addr = MinEA()
for x in range(0, 5):
    addr = idc.FindBinary(addr, SEARCH_DOWN | SEARCH_NEXT, pattern)
    if addr != idc.BADADDR:
        print hex(addr), idc.GetDisasm(addr)

• Immediate (값) 검색

addr = idc.FindImmediate(MinEA(), SEARCH_DOWN, 0x343FD)
print "0x%x %s %x" % (addr[0], idc.GetDisasm(addr[0]), addr[1])

• 문자열 검색

string = "success"
start = MinEA()
end = MaxEA()
while start < end:
    start = idc.FindText(start, SEARCH_DOWN | SEARCH_NEXT, 0, 0, string)
    if start == idc.BADADDR:
        break
    else:
        print hex(start), idc.GetDisasm(start)
    start = idc.NextHead(start)

검색 조건 종류
- SEARCHUP
- SEARCH_DOWN
- SEARCH_NEXT
- SEARCH_REGEX
- SEARCH_NOBRK
- SEARCH_NOSHOW
- SEARCH_UNICODE
- SEARCH_IDENT
- SEARCH_BRK

• 패치
  
  • idc.PatchByte(ea, value)
  • idc.PatchWord(ea, value)
  • idc.PatchDword(ea, value)

def xor(size, key, buff):
    for index in range(0, size):
        cur_addr = buff + index
        tmp = idc.Byte(cur_addr) ^ key
        idc.PatchByte(cur_addr, temp)

• 디버깅
  
  • 브레이크 포인트 설정 : AddBpt()
  • 핸들러 연결 : SetBptCnd()
  • 레지스터 값 가져오기 : GetRegValue()
  • 레지스터 값 설정 : SetRegValue()
  • 디버거 이벤트 대기 : GetDebuggerEvent()
  • 설정한 위치 혹은 브레이크 포인트 위치까지 프로세스 실행 : RunTo()
  • Step Into / Step Over : StepInto() / StepOver()