IDAPython 初学者指南

作者：Alexander Hanel

翻译：foyjog

目录

IDAPython 初学者指南 .............................................................................................................................1

1. 介绍 ..............................................................................................................................................3

2. 目标读者和免责声明 ..............................................................................................................3

3. 代码习惯 .....................................................................................................................................3

4. IDAPython 背景 ........................................................................................................................4

5. 基本操作 .....................................................................................................................................4

9. 操作数 ....................................................................................................................................... 12

10. 交叉引用（Xrefs） .......................................................................................................... 18

18. 批生成文件 ......................................................................................................................... 41

19. 可执行脚本 ......................................................................................................................... 42

20. 结束语 .................................................................................................................................. 43

1. 介绍

大家好，这是一本关于 IDAPython 的书籍。

我写这本书的本意其实是为了给自己做参考，在我想用 IDAPython 的时候能够随时找

到一些关于 IDAPython 的功能的样例。自从我写完了这本书，我经常使用它帮助我来理解

IDAPython 的语法或者寻找一些样例中的代码。如果你关注我的博客的话，你也许会注意到

子和片段的人一些帮助。作为一本电子书，我会定期的更新它。

2. 目标读者和免责声明

这本书不适合逆向工程的新手阅读，也不适合当一本 IDA 的启蒙书阅读。如果你对 IDA

很陌生，那么我推荐你去买一本 Chris Eagles 的”The IDA PRO Book“来读一读，绝对的物超

所值。

想要买这本书的读者需要以下几个条件：1.能够轻松的阅读汇编代码。2.有逆向工程的

经验。3.熟悉 IDA 的基本操作。如果你有时会冒出一个想法：我怎么利用 IDAPython 来自动

化这个工作呢？那么这本书就很适合你了。如果你已经能够自己编写一些 IDAPython 的脚

本，那么这本书也不适合你。说句实在话，这是一本面向 IDAPython 新手的书籍，它是一个

常用的 IDAPython 的功能脚本的参考。

书中的例子将使用 IDA 的输出窗口（命令行接口）作为输出。为了简洁一些，在一些例

子中将不会把当前的地址作为一个变量来对待，通常它会表示为 ea = here()。书中所有的代

码都可以被复制粘贴到 IDA 的命令行或者 IDA 的脚本窗口（快捷键为 shift+f2）中执行。当

然你得好好读这本书才能行的说。我不会把所有的代码都一行行的解释的，太费时间了。一

千个程序员就有一千种代码写法。在 IDAPython 中有人会写 idc.SegName(ea)，有人会写

SegName(ea)。本书的话使用第一种写法，因为我发现这种写法更好阅读和调试。但有时候

这种写法会报如下的错误：

-----------------------------------------------

Python>DataRefsTo(here())

<generator object refs at 0x05247828>

<generator object refs at 0x06A398C8>

如果报错，只要像上面那样手动引入 idautils 就可以了。

4. IDAPython 背景

IDAPython 出现于 2004 年，它是 Gergely Erdelyi 和 Ero Carrera 共同努力的成果。他们

的目标在于打造一个既拥有 Python 的强大特性又拥有 IDC 的强大的自动化分析功能的脚本

语言。IDAPython 由三个分离的模块组成，他们分别是 idc，idautils 和 idaapi。idc（注意大

小写，不是 IDA 中的 IDC）是一个封装了 IDA 的 IDC 的兼容性模块，idautils 是 IDA 的高级

实用功能模块，idaapi 允许了我们访问更加底层的数据。

5. 基本操作

在深入探索之前我们应该定义一些关键字段，顺便还要复习一下 IDA 的反汇编输出的

结构，下面是个 IDA 反汇编的例子：

---------------------------------------------

.text:00012529 mov esi, [esp+4+arg_0]

你想要获取当前 IDB 中的最小地址和最大地址的话就可以使用 MinEA()和 MaxEA()这两个函

Python>print "0x%x %s" % (ea, ea)

0x12529 75049

Python>hex(MinEA())

0x401000

Python>hex(MaxEA())

0x437000

---------------------------------------------

在 IDA 的反汇编窗口中，每一个能够被描述的元素我们都可以使用 IDAPython 来获取。

下面的例子展示了如何获取这些元素。记住下面的代码要和上面的代码连起来读哦。

---------------------------------------------

mov esi, [esp+4+arg_0]

Python>idc.GetMnem(ea) # get mnemonic

Python>idc.GetOpnd(ea,0) # get first operand

esi

Python>idc.GetOpnd(ea,1) # get second operand

有些时候我们必须确认一个地址是否在当前的程序中存在，那么我们可以使用

idaapi.BADADDR 或者 BADADDR 来确认该地址。

----------------------------------------------------

valid address

----------------------------------------------------

6. 段

打印一行数据好像并没什么卵用，但是 IDAPython 的强大之处在于它能遍历所有的指

令，所有的交叉引用地址，还有搜索所有的代码和数据。后面两项功能稍后再做介绍。我们

先从遍历所有段的指令开始讲起。

----------------------------------------------------

Python>for seg in idautils.Segments():

print idc.SegName(seg), idc.SegStart(seg), idc.SegEnd(seg)

HEADER 65536 66208