背景
IDAPython 由三個分離的模塊組成,他們分別是 idc,idautils 和 idaapi。
idc(注意大小寫,不是 IDA 中的 IDC)是一個封裝了 IDA 的 IDC 的兼容性模塊,idautils 是 IDA 的高級實用功能模塊,idaapi 允許了我們訪問更加底層的數據。
基本操作
idc.Screen或者here()返回此時的地址,返回值是一個十進制數,所以可以寫成hex(here())。MaxEA()和MinEA()代表最大值和最小值。
idc.SegName(here())獲取當前地址所在的段的名稱。
idc.GetDisasm(here())獲取當前地址的反匯編語句。
段
IDAPython 的強大之處在於它能遍歷所有的指令,所有的交叉引用地址,還有搜索所有的代碼和數據。
for i in idautils.Segments():
print idc.SegName(i), idc.SegStart(i), idc.SegEnd(i)
idautils.Segments()返回一個可迭代的對象數組,包含的元素是每個段的起始地址。
獲取段的名稱(idc.SegName(ea)),段的起始地址(idc.SegStart(ea)),段的結束地址(idc.SegEnd(ea))。通過 idc.NextSeg(ea)我們可以獲取到當前地址所在段的下一個段的起始地址 。如果我們想通過名字得到一個段的起始地址,我們可以使用 idc.SegByName(segname)。
函數
遍歷所有段中的所有函數。
idautils.Functions()將會返回一個保存着已知函數首地址的數組。idc.GetFunctionName(ea)返回ea地址處的函數名稱。
利用 idaapi.get_func(ea)這個函數來獲取函數的邊界地址(起始和結束地址)
idaapi.get_func(ea)返回一個 idaapi.func_t 的類給我們,有時候你並不清楚這個類能夠干嘛,所以你可以使用 dir(class)函數來獲取這個類究竟有哪些屬性可以使用。
idc.NextFunction(ea) 和idc.PrevFunction (ea)來獲取當前函數的前一個或者后一個函數。