LazyIDA源码阅读

LazyIDA是一款IDA插件，项目地址GitHub - L4ys/LazyIDA: Make your IDA Lazy!

外部引用

from __future__ import division
from __future__ import print_function
from struct import unpack
import idaapi
import idautils
import idcfrom PyQt5.Qt import QApplication

from __future__ import division: 这行代码是用于确保Python 2和Python 3之间的兼容性。在Python 2中，除法运算默认是整数除法，而在Python 3中，除法运算默认是浮点数除法。通过这行代码，你可以确保在Python 2中使用浮点数除法。

from __future__ import print_function: 这行代码是为了确保在Python 2中使用print作为函数而不是语句。在Python 3中，print是一个函数，而在Python 2中，它是一个语句。这行代码是为了让Python 2的print行为更接近于Python 3

from struct import unpack: struct模块用于在Python中处理C结构。unpack函数用于将打包的二进制数据解包为Python数据类型。

import idaapi: 这行代码导入了IDA Pro的API，允许你使用IDA Pro的功能和插件。

import idautils: idautils模块包含了一些实用的工具函数，用于处理和操作IDA Pro中的数据。

import idc: idc是IDA Pro的核心模块，提供了与IDA Pro数据库交互的功能

from PyQt5.Qt import QApplication:这行代码从PyQt5的Qt模块导入了QApplication类。PyQt5是一个用于创建图形用户界面(GUI)的Python库，而QApplication类是所有PyQt5 GUI应用程序的入口点。

全局变量和函数

这部分定义了一些元组和字符串，之后要说的重点是u16，u32和u64这三个函数

ACTION_CONVERT = ["lazyida:convert%d" % i for i in range(10)]
ACTION_SCANVUL = "lazyida:scanvul"
ACTION_COPYEA = "lazyida:copyea"
ACTION_GOTOCLIP = "lazyida:gotoclip"
ACTION_XORDATA = "lazyida:xordata"
ACTION_FILLNOP = "lazyida:fillnop"ACTION_HX_REMOVERETTYPE = "lazyida:hx_removerettype"
ACTION_HX_COPYEA = "lazyida:hx_copyea"
ACTION_HX_COPYNAME = "lazyida:hx_copyname"
ACTION_HX_GOTOCLIP = "lazyida:hx_gotoclip"u16 = lambda x: unpack("<H", x)[0]
u32 = lambda x: unpack("<I", x)[0]
u64 = lambda x: unpack("<Q", x)[0]ARCH = 0
BITS = 0

u16，u32，u64函数

这三个函数涉及的库函数解读和lambda表达式在下文，还有一个demo，这里概述一下三个函数的作用

这三个函数都接受一个x作为参数

然后调用unpack函数将pack函数打包成的bytes对象解包

<表示的是小端序，H表示的是两个字节，16位

I表示的是四个字节，32位

Q表示的八个字节，64位

lambda表达式

例如u16

lambda表达式，定义了一个函数u16

lambda x:表示接受的变量是x

函数的操作是unpack("<H", x)[0]

unpack函数

在上文from struct import unpack中导入了unpack

官网解释

库

struct — Interpret bytes as packed binary data — Python 3.12.1 documentation

This module converts between Python values and C structs represented as Python bytes objects.

这个库是用字节码实现在Python的值和C的结构体之间的转换

unpack

struct.unpack(format, buffer)

这个函数用于解包由 pack 函数打包过的 buffer。其中，format 是打包时使用的格式字符串(Format string)，buffer 是打包后的字节串。

calcsize

struct.calcsize 返回与格式字符串 format 对应的结构体(以及由 pack(format，…)生成的 bytes 对象)的大小。

Format string

格式字符串描述了在打包和解包数据时的数据布局。它们由格式字符构建，这些格式字符指定了正在打包/解包的数据类型。此外，特殊字符还控制字节顺序、大小和对齐方式。每个格式字符串由一个可选的前缀字符组成，该字符描述数据的整体属性，以及一个或多个格式字符，这些字符描述实际的数据值和填充。

格式字符串的第一个字符可用于指示打包数据的字节顺序、大小和对齐方式

Native byte order取决于host system

标准大小仅取决于格式字符；请参阅“格式字符”部分中的表格

demo

from struct import *
print(pack("<i", 1))
print(pack(">i", 1))'''
运行结果
b'\x01\x00\x00\x00'
b'\x00\x00\x00\x01'
'''

函数和类

copy_to_clip

def copy_to_clip(data):QApplication.clipboard().setText(data)

设置剪贴板内容

clip_text

def clip_text():return QApplication.clipboard().text()

返回剪贴板的内容

parse_location

def parse_location(loc):try:loc = int(loc, 16)except ValueError:try:loc = idc.get_name_ea_simple(loc.encode().strip())except:return idaapi.BADADDRreturn loc

try中将输入的数字转换成16进制

否则就用idc.get_name_ea_simple获取函数名对应的地址

如果都不是就返回BADADDR异常

hotkey_action_handler_t

这个类用于处理IDA pro中的动作

ida_kernwin API documentation

class hotkey_action_handler_t(idaapi.action_handler_t):"""Action handler for hotkey actions"""def __init__(self, action):idaapi.action_handler_t.__init__(self)self.action = actiondef activate(self, ctx):if self.action == ACTION_COPYEA:ea = idc.get_screen_ea()if ea != idaapi.BADADDR:copy_to_clip("0x%X" % ea)print("Address 0x%X has been copied to clipboard" % ea)elif self.action == ACTION_GOTOCLIP:loc = parse_location(clip_text())if loc != idaapi.BADADDR:print("Goto location 0x%x" % loc)idc.jumpto(loc)return 1def update(self, ctx):if idaapi.IDA_SDK_VERSION >= 770:target_attr = "widget_type"else:target_attr = "form_type"if ctx.__getattribute__(target_attr) in (idaapi.BWN_DISASM, idaapi.BWN_DUMP):return idaapi.AST_ENABLE_FOR_WIDGETelse:return idaapi.AST_DISABLE_FOR_WIDGET

可以看到 hotkey_action_handler_t这个类继承了 action_handler_t类，并重写了activate这个函数