让你的生活更美好
分类:编程应用

IDAPython:让你的生活更美好(四)

前三部分已经验证了用IDAPython能够让工作变的更简单,这一部分让我们看看逆向工程师如何使用IDAPython的颜色和强大的脚本特性。
分析者经常需要面对越来越复杂的代码,而且有时候无法轻易看出动态执行的时候执行的代码。而通过IDAPython的强大功能,我们不但能静态的标识指令,并且能够统计出对应的指令被使用了多少次。
背景
在这一部分中,我用C语言写了一个简单的程序。下面的代码是为了这次的练习而编写和编译的:
#include "stdafx.h"
#include
#include
int _tmain(int argc, _TCHAR* argv[])
{
  char* start = "Running the program.";
  printf("[+] %sn", start);
  char* loop_string = "Looping...";
 
  srand (time(NULL));
  int bool_value = rand() % 10 + 1;
  printf("[+] %d selected.n", bool_value);
  if(bool_value > 5)
  {
    char* over_five = "Number over 5 selected. Looping 2 times.";
    printf("[+] %sn", over_five);
    for(int x = 0; x  2; x++)
      printf("[+] %sn", loop_string);
  }
  else
  {
    char* under_five = "Number under 5 selected. Looping 5 times.";
    printf("[+] %sn", under_five);
    for(int x = 0; x  5; x++)
      printf("[+] %sn", loop_string);
  }
  return 0;
}
当我们将这个二进制加载到IDA中时,我们可以看到预期的循环与代码重定向语句。,通过静态分析能够大概判断代码实现的功能。

然而,如果我们想知道运行的时候执行了哪个区块的代码呢?这个问题可以用IDAPython来解决哦!
编写IDAPYTHON脚本
我们第一个需要处理的难题是如何逐句遍历每一条指令,以下代码将可以帮助我们来解决:(调试信息会输出已经被执行的指令)
RunTo(BeginEA())
event = GetDebuggerEvent(WFNE_SUSP, -1)
EnableTracing(TRACE_STEP, 1)
event = GetDebuggerEvent(WFNE_ANY|WFNE_CONT, -1)
while True:
  event = GetDebuggerEvent(WFNE_ANY, -1)
  addr = GetEventEa()
  print "Debug: current address", hex(addr), "| debug event", hex(event)
  if event  1: break
在上面的代码中我们首先启动了调试器并且执行到函数的入口处,通过调用‘RunTo(BeginEA())’函数。接下来调用的GetDebuggerEvent()函数会等待直到断点到达。
接着我们调用EnableTracing()函数来打开IDA的跟踪功能,然后GetDebuggerEvent()函数调用会继续执行调试器,配置跟踪步骤。最后,我们会进入一个循环遍历每一个地址直到遇到结束条件。
下一个步骤是检索出执行的每一行并标识颜色。我们可以使用GetColor()和SetColor()函数来分别解决这两个问题。下面的代码会获取给定行数代码的当前颜色,并决定将代码设置成什么颜色,并进行设定。
在这个例子,我使用四种不同深浅的蓝色。深蓝色表示这一行被重复执行。(读者可以根据跟人喜好修改这部分代码)
def get_new_color(current_color):
  colors = [0xffe699, 0xffcc33, 0xe6ac00, 0xb38600]
  if current_color == 0xFFFFFF:
    return colors[0]
  if current_color in colors:
    pos = colors.index(current_color)
    if pos == len(colors)-1:
      return colors[pos]
    else:
      return colors[pos+1]
  return 0xFFFFFF
 
 
current_color = GetColor(addr, CIC_ITEM)
new_color = get_new_color(current_color)
SetColor(addr, CIC_ITEM, new_color)
运行上面的代码能够将无颜色的行数修改为高亮的蓝色。另外,如果同一行代码运行多次会变成深蓝色。

可以使用下面的代码来删除IDA文件中之前设置的所有颜色。将颜色设置成0XFFFFFF将会变成白色,或者高效的将之前设置的所有颜色删除。
heads = Heads(SegStart(ScreenEA()), SegEnd(ScreenEA()))
for i in heads:
  SetColor(i, CIC_ITEM, 0xFFFFFF)
将所有的代码合到一起,我们会得到如下结果:
heads = Heads(SegStart(ScreenEA()), SegEnd(ScreenEA()))
for i in heads:
  SetColor(i, CIC_ITEM, 0xFFFFFF)
 
def get_new_color(current_color):
  colors = [0xffe699, 0xffcc33, 0xe6ac00, 0xb38600]
  if current_color == 0xFFFFFF:
    return colors[0]
  if current_color in colors:
    pos = colors.index(current_color)

    if pos == len(colors)-1:
      return colors[pos]
    else:
      return colors[pos+1]
  return 0xFFFFFF
 
RunTo(BeginEA())
event = GetDebuggerEvent(WFNE_SUSP, -1)
EnableTracing(TRACE_STEP, 1)
event = GetDebuggerEvent(WFNE_ANY|WFNE_CONT, -1)
while True:
  event = GetDebuggerEvent(WFNE_ANY, -1)
  addr = GetEventEa()
  current_color = GetColor(addr, CIC_ITEM)
  new_color = get_new_color(current_color)
  SetColor(addr, CIC_ITEM, new_color)
  if event  1: break
当我在程序用运行这段代码时,我们看到执行过的反汇编指令被高亮了。如下图所示,多次执行的指令被设置成了深蓝色,让我们能够更容易理解代码执行流程。

总结
这一部分演示的例子确实很简单,结合了IDA调试功能与颜色相关API的使用。这项技术能够让分析者在复杂应用代码分析中节省大量的时间。 

 

前三部分已经验证了用IDAPython能够让工作变的更简单,这一部分让我们看看逆向工程师如何使用IDAPytho...

一、C++服务器端

(用的是Visual Studio 2008(05,03的应该也可以,VC++的可能需要稍微改动))

代码如下:

#include <winsock2.h>

#include <stdio.h>

#include <windows.h>

#include <iostream>

using namespace std;

#pragma comment(lib,"ws2_32.lib")

 

void main(){ 

 WORD wVersionRequested;

 WSADATA wsaData;

 int err;

 short port=1300;//端口号

 

 wVersionRequested = MAKEWORD( 1, 1 );

 

 err = WSAStartup( wVersionRequested, &wsaData );//初始化套接字

 if ( err != 0 )

 {

    return;

 }

 

 if ( LOBYTE( wsaData.wVersion ) != 1 || HIBYTE( wsaData.wVersion ) != 1 )

 {

    WSACleanup( );

    return;

 }

 

 SOCKET sockSrv=socket(AF_INET,SOCK_STREAM,0);//创建套接字

 SOCKET sockConn;//用来和客户端通信的套接字

 

 SOCKADDR_IN addrSrv;//用来和客户端通信的套接字地址

 

 addrSrv.sin_addr.S_un.S_addr=htonl(INADDR_ANY);

 addrSrv.sin_family=AF_INET;

 addrSrv.sin_port=htons(port);

 

 bind(sockSrv,(SOCKADDR*)&addrSrv,sizeof(SOCKADDR));//绑定端口

 

 listen(sockSrv,5);//侦听

 

printf("Server %d is listening......n",port);

 

 SOCKADDR_IN addrClient;

 

 int len=sizeof(SOCKADDR);

 

char buf[4096];//接收的数据

char rbuf[100]="成功";//返回的数据

 

 while(1)

 {

        //接受连接

         sockConn=accept(sockSrv,(SOCKADDR*)&addrClient,&len);

         printf("Accept connection from %sn",inet_ntoa(addrClient.sin_addr));

 

         //接收数据

         int bytes;

         if((bytes=recv(sockConn,buf,sizeof(buf),0))==SOCKET_ERROR){

              printf("接收数据失败!n");

              exit(-1);

         }

         buf[bytes]='';

         printf("Message from %s: %sn",inet_ntoa(addrClient.sin_addr),buf);

 

         //发送数据

        if(send(sockConn,rbuf,strlen(rbuf)+1,0)==SOCKET_ERROR){

              printf("发送数据失败!");

              exit(-1);

         }

        printf("Message to %s: %sn",inet_ntoa(addrClient.sin_addr),rbuf);

 

        //清理套接字占用的资源

        closesocket(sockConn);

 }

 

 

}

 

运行效果如下:

 

 

二、Flex客户端(Flex Builder)

代码如下

<?xml version="1.0" encoding="utf-8"?>

<mx:WindowedApplication xmlns:mx="" layout="absolute"

     creationComplete="initApp();">

        <mx:Script>

        <![CDATA[

            import flash.net.Socket;

            private var socket:Socket;

            private function initApp():void

            {

             

            }

           

            private function StartTest():void

            {         

              socket = new Socket("127.0.0.1",1300);     

                socket.addEventListener(Event.CONNECT, connectHandler);

                socket.addEventListener(ProgressEvent.SOCKET_DATA, socketDataHandler);

            }

            private function CloseTest():void

            {   

                if(socket!=null && socket.connected)

                {

                    trace("socket.connected:"+socket.connected);

                    socket.close();

                    trace("socket.connected:"+socket.connected);

                }

            }

            private function connectHandler(event:Event):void

            {

                trace("connectHandler: " + event);

                socket.writeMultiByte(SendStr.text,"GB2312");               

                socket.flush();

            }

            private function socketDataHandler(event:ProgressEvent):void

            {

                trace("socketDataHandler: " + event);

                var str:String=socket.readMultiByte(socket.bytesAvailable,"GB2312");

                ReceiveStr.text = str;

            }

        ]]>

    </mx:Script>

 

        <mx:Text text="发送" y="11" x="18" fontWeight="bold" color="#ffffff"/>

        <mx:TextAreaFONT-SIZE: 10pt; COLOR: #990000; FONT-FAMILY: 'Courier New'; mso-font-kerning: 0pt">ReceiveStr" x="53" y="68"/>

        <mx:Text text="接收" y="69" x="18" fontWeight="bold" color="#ffffff"/>

        <mx:TextAreaFONT-SIZE: 10pt; COLOR: #990000; FONT-FAMILY: 'Courier New'; mso-font-kerning: 0pt">SendStr" y="10" x="53"/>       

        <mx:Button label="Start" click="StartTest()" x="53" y="120"/>

        <mx:Button label="Close" click="CloseTest()" x="126" y="120"/>

</mx:WindowedApplication>

三、运行

先运行C++服务器端,再运行Flex客户端,成功后如下图所示

 

一、基于TCP(面向连接)的的Socket

1、服务器端

  • 创建套接字--------SOCKET socket(  int af,  int type,  int protocol);
  • 绑定套接字到本地地址和端口上------int bind(  __in    SOCKET s,  __in   const struct sockaddr* name,  __in   int namelen);
  • 将套接字设为监听模式,准备接受请求--------int listen( __in   SOCKET s,  __in    int backlog);
  • 等待客户端请求,当接受连接请求后,返回一个新的对应于此次连接的套接字------SOCKET accept(  __in    SOCKET s,  __out         struct sockaddr* addr,  __in_out      int* addrlen);
  • 利用accept函数返回的套接字(里面有客户端的IP地址和端口号)进行通信-----发送信息int send(
      SOCKET s,
      const char FAR* buf,
      int len,
      int flags
    );       --------------------接受信息int recv(  SOCKET s,  char FAR* buf,  int len,  int flags);
  • 等待另一客户端请求
  • 关闭套接字

2、客户端

  • 创建套接字-----socket
  • 向服务器发出连接请求-----int connect(  SOCKET s,  const struct sockaddr FAR* name,  int namelen);
  • 进行通信----send 和 recv
  • 关闭套接字

二、基于UPD(面向无连接)的socket

1、服务器端

  • 创建套接字-----socket
  • 绑定地址和端口------bind
  • 数据处理------接收数据  int recvfrom(
      __in          SOCKET
    s,
      __out         char*
    buf,
      __in          int
    len,
      __in          int
    flags,
      __out         struct sockaddr*
    from,
      __in_out      int*
    fromlen
    );      -------------- 发送数据 int sendto(
      __in          SOCKET
    s,
      __in          const char*
    buf,
      __in          int
    len,
      __in          int
    flags,
      __in          const struct sockaddr*
    to,
      __in          int
    tolen
    );
  • 关闭套接字

客户端

  • 创建套接字-----socket

  • 向服务器发送数据和接收数据 recvfrom/sendto

  • 关闭套接字

不要忘记在开始的时候导入socket库------int WSAStartup(
  __in          WORD
wVersionRequested,
  __out         LPWSADATA
lpWSAData
);
和引入头文件#include <WinSock2.h>

本文由正版必中一肖图发布于编程应用,转载请注明出处:让你的生活更美好

上一篇:Python中os.path的妙用 下一篇:没有了
猜你喜欢
热门排行
精彩图文