기본 콘텐츠로 건너뛰기

IDAPython-basic-code-snippet

IDAPython 시작하기

많이 사용되는 기본 구문

  • 바이트 : idc.Byte(ea)
  • 워드 : idc.Word(ea)
  • 더블 워드 : idc.Dword(ea)
  • 쿼드 워드 : idc.Qword(ea)
  • Float : idc.GetFloat(ea)
  • Double : idc.GetDouble(ea)
  • 현재 커서 위치 읽어오기 : ea = idc.ScreenEA()
  • 어셈블리 코드 읽어오기 : idc.GetDIsasm(ea)
  • 명령어 읽어오기 : idc.GetMnem(ea)
  • 인자 읽어오기 : idc.GetOpnd(ea, n)
  • 인자 형식 읽어오기 : idc.GetOpType(ea, n)
  • 유효 주소 확인 : if BADADDR != here():
  • 섹션 출력하기 : 
for seg in Segments():
    print idc.SegName(seg), idc.SegStart(seg), idc.SegEnd(seg)
  • 함수 목록 출력하기
for fun in Functions():
    print hex(func), idc.GetFunctionName(func)
  • 사용 가능한 함수 목록 확인하기
ea = ScreenEA()
func = idaapi.get_func(ea)
print dir(func)
  • 특정 주소가 위치한 함수 영역 구하고 어셈블리 코드 출력하기
ea = ScreenEA()
func = idaapi.get_func(ea)

start = func.startEA
end = func.endEA

print "Start: 0x%x, End: 0x%x" % (start, end)

while start <= end:
    print hex(start), idc.GetDisasm(start)
    start = idc.NextHead(start, end)
  • 코드 상호 참조 찾기
strcpy_addr = idc.LocByName("strcpy") # or function address
print hex(strcpy_addr), idc.GetDisasm(strcpy_addr)
for addr in CodeRefsTo(strcpy_addr, 0):
    print hex(addr), idc.GetDisasm(addr)
  • 데이터 상호 참조 찾기
ea = ScreenEA()
for addr in DataRefsTo(ea):
    print hex(addr), idc.GetDisasm(addr)
  • 특정 주소에 대한 상호참조 찾기 - XrefsTo, XrefsFrom
ea = ScreenEA()
for xref in XrefsTo(ea, 0): # 0 -> all, 1 -> xref 
    print xref.type, XrefTypeName(xref.type), "|", hex(xref.frm), idc.GetDisasm(xref.frm), "|", hex(xref.to), idc.GetDisasm(xref.to)
  • 특정 주소에 대한 모든 상호 참조를 조회
def get_to_xrefs(ea):
    xref_set = set([])
    for xref in XrefsTo(ea, 1)
        xref_set.add(xref.frm)
    return xref_set

상호 참조에는 코드 상호 참조와 데이터 상호 참조가 있으며 쉽게 생각해서 어떤 곳에서 호출하는 지, 어떤 곳에서 접근하는 지를 나타낸다.

  • Binary (Code) 검색
pattern == '55 8B EC' # PUSH ebp
addr = MinEA()
for x in range(0, 5):
    addr = idc.FindBinary(addr, SEARCH_DOWN | SEARCH_NEXT, pattern)
    if addr != idc.BADADDR:
        print hex(addr), idc.GetDisasm(addr)
  • Immediate (값) 검색
addr = idc.FindImmediate(MinEA(), SEARCH_DOWN, 0x343FD)
print "0x%x %s %x" % (addr[0], idc.GetDisasm(addr[0]), addr[1])
  • 문자열 검색
string = "success"
start = MinEA()
end = MaxEA()
while start < end:
    start = idc.FindText(start, SEARCH_DOWN | SEARCH_NEXT, 0, 0, string)
    if start == idc.BADADDR:
        break
    else:
        print hex(start), idc.GetDisasm(start)
    start = idc.NextHead(start)

검색 조건 종류
- SEARCHUP
- SEARCH_DOWN
- SEARCH_NEXT
- SEARCH_REGEX
- SEARCH_NOBRK
- SEARCH_NOSHOW
- SEARCH_UNICODE
- SEARCH_IDENT
- SEARCH_BRK

  • 패치
    • idc.PatchByte(ea, value)
    • idc.PatchWord(ea, value)
    • idc.PatchDword(ea, value)
def xor(size, key, buff):
    for index in range(0, size):
        cur_addr = buff + index
        tmp = idc.Byte(cur_addr) ^ key
        idc.PatchByte(cur_addr, temp)
  • 디버깅
    • 브레이크 포인트 설정 : AddBpt()
    • 핸들러 연결 : SetBptCnd()
    • 레지스터 값 가져오기 : GetRegValue()
    • 레지스터 값 설정 : SetRegValue()
    • 디버거 이벤트 대기 : GetDebuggerEvent()
    • 설정한 위치 혹은 브레이크 포인트 위치까지 프로세스 실행 : RunTo()
    • Step Into / Step Over : StepInto() / StepOver()
라벨:

이 블로그의 인기 게시물

데일 카네기 인간관계론 정리

자세한 내용 보기

Remove-Server-Header

응답 메시지 내 서버 버전 정보 제거 1. Apache 1) 조치 방법 “/etc/htpd/conf/httpd.conf” 파일 안에서 1. ServerTokens OS → ServerTokens Prod 2. ServerSignature On → ServerSignature Off 로 변경한 후 아파치를 재시작하면 헤더 값의 아파치 버전 정보 및 OS 정보를 제거할 수 있다. 2) 참고 URL http://zetawiki.com/wiki/CentOS_ 아파치_보안권장설정_ServerTokens_Prod,_ServerSignature_Off 2. IIS 1) 조치 방법 IIS 6.0 urlscan_setup 실행. 설치. \windows\system32\inetsrv\urlscan\urlscan.ini 파일을 열어 다음 수정(RemoveServerHeader=0 을 RemoveServerHeader=1 로 변경) 서비스에서 IIS Admin Service 재시작. IIS 7.0 IIS 관리자를 열고 관리하려는 수준으로 이동합니다. 기능 보기에서 HTTP 응답 헤더를 두 번 클릭합니다. HTTP 응답 헤더 페이지에서 제거할 헤더를 선택합니다. 작업 창에서 제거를 클릭하고 예를 클릭합니다. 2) 참고 URL IIS 6.0 : http://gonnie.tistory.com/entry/iis6- 응답헤더-감추기 IIS 7.0 : https://technet.microsoft.com/ko-kr/library/cc733102(v=ws.10).aspx 3. jetty 1) 조치 방법 “jetty.xml” 파일에서 jetty.send.server.version=false 설정 2) 참고 URL http://attenuated-perspicacity.blogspot.kr/2009/09/jetty-61x-hardening.html 4. Nginx ...
자세한 내용 보기

CVE-2017-11352

CVE-2017-11352 ImageMagick 에서 발생했던 CVE-2017-9144 취약점의 미흡한 조치로 인하여 동일한 취약점이 다시 발생되었다. 재 발생된 취약점 CVE-2017-11352은 coders/rle.c 에서 RLE 이미지에 대한 부적절한 EOF 처리가 원인이었다. EOF 란? 파일의 끝(End of File, EOF)으로 데이터 소스로부터 더 이상 읽을 수 있는 데이터가 없음을 나타낸다. ImageMagick Github Page 에 들어가보면 해당 이슈를 상세히 확인할 수 있다. 부적절한 EOF 처리 원인은 소스 코드 수정 시 유사한 코드를 복사 붙여넣기 하는 과정에서 검증해야할 변수 명을 고치지 않고 그대로 적용해서 발생했다. operand=ReadBlobByte(image); if (opcode == EOF) ThrowRLEException(CorruptImageError, "UnexpectedEndOfFile" ); 이로 인해서 조치 완료된 줄 알았던 CVE-2017-9144 취약점은 CVE-2017-11352이라는 새로운 취약점 명으로 다시 조치 되었다. case SkipLinesOp: { operand=ReadBlobByte(image); - if (opcode == EOF) + if (operand == EOF) ThrowRLEException(CorruptImageError, "UnexpectedEndOfFile" ); if (opcode & 0x40 ) { operand=ReadBlobLSBSignedShort(image); - if (opcode == EOF) + if (operand == EO...
자세한 내용 보기