標籤:IDA IDAPython 斷點 調試
問題描述:在逆向分析過程,經常需要跟蹤作業系統API的調用情況。使用IDA進行調試的過程中,可以通過介面操作給指定API設定斷點。但是介面操作存在操作不便,不利於分析自動化等缺陷。使用IDAPython指令碼實現給API函數下條件斷點,可有效解決上述問題。
一、通過介面操作給Windows API下斷點
1、操作過程
以給LoadLibraryA函數下斷點為例,程式ida01.exe(EXE檔案)對應的原始碼如下:
#include "windows.h"int main(){ LoadLibrary("E:\\Office10\\SAEXT.DLL"); LoadLibrary("E:\\document\\My Knowledge\\Update_x86\\WizTools.dll"); return 0;}
①用IDA開啟EXE檔案後,設定調試器在入口暫停。操作路徑:點擊Debugger→Debugger setup,選中Suspend on process entry point。
②按F9,運行EXE
③在的modules視窗中找到kernel32.dll,然後雙擊,在右側出現Module:kernel32.dll標籤視窗,如所示
④找到LoadLibraryA函數,然後雙擊,IDA View視窗將導航至LoadLibraryA函數處,點擊指定地址左側的小圓點,即可下斷點。下完斷點後如所示
⑤如果只在載入SAEXT.DLL時中斷執行,那麼可以將斷點設定成條件斷點。具體方法:在Breakpoints視窗中右擊指定斷點,點擊Edit,然後在condition編輯框中輸入strstr(GetString(Dword(esp+4),-1, 0), "SAEXT.DLL") != -1
。需要說明的是,此編輯框中必須是IDC指令碼運算式,不能使用IDAPython指令碼。運算式中Dword(esp+4)是擷取第一個參數值,在此例中就是檔案路徑的指標,GetString(Dword(esp+4))是擷取路徑,strstr則進行搜尋,如果路徑中包含SAEXT.DLL為真,斷點才有效。
2、問題分析
①上述下斷點的過程,首先要確定API函數所在的DLL,而分析人員很難記住API函數與所在DLL的對應關係
②無法與自動化指令碼想結合,整個過程都需要人工介入
二、IDAPython指令碼實現Windows API條件斷點
1、思路
將所有Windows API與DLL的對應關係儲存到檔案,當使用者下斷點時,指令碼自動尋找API函數對應的DLL檔案名稱。找到檔案名稱後,利用檔案名稱+函數名定位函數地址,然後下斷點並設定相關條件。
2、指令碼代碼
由兩個檔案組成,一個是IDAPython指令碼break_api.py,一個是存放API函數和DLL對應關係的資料檔案win_api.dat(可從附件下載)。兩個檔案都放到了[IDA安裝目錄]\Python\script下,break_api.py指令碼內容如下:
def GetApiModule(api_name): try: path = GetIdaDirectory() path = path + ‘\\python\\script\\win_api.dat‘ f = open(path, ‘r‘) strall = f.read() f.close() except IOError: Message(‘Can\‘t open win_api.dat.‘) return ‘none‘ pos = strall.find(api_name) if (-1 == pos): Message(‘Can\‘t find the api.‘) return ‘none‘ beg = strall.rfind(‘<‘, 0, pos)+1 end = strall.find(‘>‘, beg) return strall[beg:end]def BptAPI(api_name): dll_name = GetApiModule(api_name) if dll_name == ‘none‘: Message(‘API err.‘) return name = dll_name[0:len(dll_name)-4] + ‘_‘ + api_name ea = LocByName(name) AddBpt(ea) SetBptCnd(ea, ‘strstr(GetString(Dword(esp+4),-1, 0), "SAEXT.DLL") != -1‘)
代碼很簡單,不做多餘的解釋。
3、指令碼使用方法
①用IDA開啟EXE檔案後,設定調試器在入口暫停。操作路徑:點擊Debugger→Debugger setup,選中Suspend on process entry point。
②按F9,運行EXE
③alt+f7,匯入break_api.py
④在Output window視窗,選擇Python指令碼,然後調用BptAPI(‘LoadLibraryA‘),即可給LoadLibraryA函數設定條件斷點,具體條件和前面的介面操作一直,如果有其他需求,可對條件運算式進行修改。
三、小結
本文只是簡單給出使用IDAPython指令碼給windows API函數下條件斷點的方法,讀者朋友們可根據各自需求進行靈活應用,進而實現複雜分析過程的自動化。希望對大家有協助。
利用IDAPython給Windows API下條件斷點