【逆向】使用IDA Python腳本自動化解密字符串數據

前言

一個肚腦蟲（Donot）APT組織的下載器樣本，樣本中的一些關鍵字符串數據需要使用指定函數進行動態解密。所以正好借此機會記錄下怎么使用IDA Python腳本來解密字符串數據。使用IDA Python腳本自動化解密字符串數據對逆向分析人員來說應該是一個比較常用的功能。

myDecode為解密函數，只要將加密的字符串數據作為參數傳入就能返回加密前的原字符串

對myDecode函數進行交叉引用，可以發現總共有34個地方調用了該函數

解密算法比較簡單，編寫解密腳本的基本思路就是通過交叉引用獲取每一個加密字符串，然后通過添加注釋的方式對解密后的原始字符串進行標注。

_BYTE *__cdecl myDecode(const char *a1)
{
  _BYTE *v2; // [esp+10h] [ebp-8h]
  unsigned int i; // [esp+14h] [ebp-4h]

  v2 = calloc(1u, 0x1Bu);
  for ( i = 0; i < strlen(a1); ++i )
    v2[i] = a1[i] ^ 3;
  v2[i] = 0;
  return v2;
}

下面是需要用到的幾個IDA Python API函數：

XrefsTo                #獲取交叉引用地址
prev_head              #獲取前一條指令地址
print_insn_mnem     　　#獲取指令助記符
print_operand       　　#獲取指令操作數
get_operand_value   　　#獲取操作數地址
get_byte            　　#從指定地址獲取1字節數據
set_cmt             　　#添加注釋

完整腳本代碼如下：

import idc
import idaapi

def getStrAddress(addr):
    addr = prev_head(addr)
    if print_insn_mnem(addr) == "push" and "offset" in print_operand(addr,0):
        return get_operand_value(addr,0)
    else:
        return 0

def getEncodeStr(addr):
    out = ""
    while(True):
        ch = idaapi.get_byte(addr)
        if ch != 0:
            out += chr(ch)
        else:
            break
        addr += 1
    return out

def getDecodeStr(str):
    i = 0
    out = ""
    length = len(str)
    while i < length:
        out += chr(ord(str[i]) ^ 3)
        i += 1
    return out
    
    
if __name__ == '__main__':
    try:
        for x in XrefsTo(0x6B4C4920,flags = 0):
            addr = getStrAddress(x.frm)
            eStr = getEncodeStr(addr)
            dStr = getDecodeStr(eStr)
            set_cmt(prev_head(x.frm), dStr, 0)
    except:
        print("Error")

看一下添加注釋后的效果：