背景
IDAPython 由三个分离的模块组成,他们分别是 idc,idautils 和 idaapi。
idc(注意大小写,不是 IDA 中的 IDC)是一个封装了 IDA 的 IDC 的兼容性模块,idautils 是 IDA 的高级实用功能模块,idaapi 允许了我们访问更加底层的数据。
基本操作
idc.Screen或者here()返回此时的地址,返回值是一个十进制数,所以可以写成hex(here())。MaxEA()和MinEA()代表最大值和最小值。
idc.SegName(here())获取当前地址所在的段的名称。
idc.GetDisasm(here())获取当前地址的反汇编语句。
段
IDAPython 的强大之处在于它能遍历所有的指令,所有的交叉引用地址,还有搜索所有的代码和数据。
for i in idautils.Segments():
print idc.SegName(i), idc.SegStart(i), idc.SegEnd(i)
idautils.Segments()返回一个可迭代的对象数组,包含的元素是每个段的起始地址。
获取段的名称(idc.SegName(ea)),段的起始地址(idc.SegStart(ea)),段的结束地址(idc.SegEnd(ea))。通过 idc.NextSeg(ea)我们可以获取到当前地址所在段的下一个段的起始地址 。如果我们想通过名字得到一个段的起始地址,我们可以使用 idc.SegByName(segname)。
函数
遍历所有段中的所有函数。
idautils.Functions()将会返回一个保存着已知函数首地址的数组。idc.GetFunctionName(ea)返回ea地址处的函数名称。
利用 idaapi.get_func(ea)这个函数来获取函数的边界地址(起始和结束地址)
idaapi.get_func(ea)返回一个 idaapi.func_t 的类给我们,有时候你并不清楚这个类能够干嘛,所以你可以使用 dir(class)函数来获取这个类究竟有哪些属性可以使用。
idc.NextFunction(ea) 和idc.PrevFunction (ea)来获取当前函数的前一个或者后一个函数。
