IDA 特征码生成和搜索脚本

最近比较忙，就少写两句，直接附上源代码，其中的细节点就不再赘述，如有疑问，请留言。

一共就是实现了两个函数，一个用于搜索特征码 (SearchPattern)，一个用于生成特征码 (GenerateFunctionSignature)。

函数的参数和返回值：

1.SearchPattern 接收一个必要参数 hexStr(即要搜索的特征码)，一个可选参数 num(最多返回多少个匹配的结果)，返回一个存放所有符合条件的地址的 list

2.GenerateFunctionSignature 接收一个必要参数 addr(即要生成特征码的地址的起始位置)，返回唯一的特征码字符串，例如输入地址：0x12345678，返回字符串 48 8B F2 4C 8B F1 E8 ?? ?? ?? ??

··· 以下是 SearchPattern 的实现：

1 import ida_bytes

2 import ida_ida

3

4 def SearchPattern(hexStr, num = 0):

5 '''

6 hexStr： 输入的特征码字符串，例：41 80 BE ?? ?? ?? ?? 0F 84 ?? ??

7 num： 搜索到多少个结果时返回，为 0 时搜索全部匹配的地址

8 '''

9

10 # 生成掩码

11 bMask = hexStr.replace('00', '01')

12 bMask = bMask.replace('??', '00')

13 bMask = bytes.fromhex(bMask)

14 # print(bMask)

15

16 # 生成模式码

17 bPattern = hexStr.replace('??', '00')

18 bPattern = bytes.fromhex(bPattern)

19 # print(bPattern)

20

21

22 results = []

23 ea = ida_ida.inf_get_min_ea()

24

25 while True:

26 ea = ida_bytes.bin_search(

27 ea + 1,

28 ida_ida.inf_get_max_ea(),

29 bPattern,

30 bMask,

31 1,

32 ida_bytes.BIN_SEARCH_FORWARD| ida_bytes.BIN_SEARCH_NOBREAK| ida_bytes.BIN_SEARCH_NOSHOW)

33 if ea == ida_idaapi.BADADDR:

34 break

35 else:

36 # 这里可以稍作修改，让返回值变为当前函数的首地址

37 results.append(hex(ea))

38 if num != 0 and len(results) >= num:

39 break

40 # print("find {} result".format(len(results)))

41

42 return results

43

44

45 ## 测试

46 print(SearchPattern("48 8B C4 48 89 50 ??", 3))

··· 以下是 GenerateFunctionSignature 的实现：

1 import ida_bytes, ida_ua

2

3 def GenerateFunctionSignature(funcBase):

4 # 初始化要用到的变量

5 instruction = ida_ua.insn_t()

6 offset = 0

7 signature = ""

8

9 # 最多分析 100 条指令

10 for count in range(1, 101):

11 ida_ua.decode_insn(instruction, funcBase + offset)

12 offset += instruction.size

13 patternTemp = [0 for i in range(0, instruction.size)]

14

15

16 # 遍历当前指令的全部操作数，并将部分操作数的机器码置为 ??

17 for op in instruction.ops:

18 if op.type == o_void:

19 continue

20 # 模糊位 ?? 的匹配条件：

21 # and op.type != ida_ua.o_phrase and op.type != ida_ua.o_displ

22 elif (op.type != ida_ua.o_reg):

23 for index in range(op.offb, instruction.size):

24 patternTemp[index] = "??"

25

26

27 # 读入除模糊位之外的机器码

28 for index in range(0, instruction.size):

29 if patternTemp[index] == "??":

30 pass

31 else:

32 byteStr = format(ida_bytes.get_byte(instruction.ea + index), '02X')

33 patternTemp[index] = byteStr

34 signature = signature + ' ' + patternTemp[index]

35

36

37 # 每分析 3 条指令，判断一次当前的 signature 是否唯一

38 if count%3 == 0:

39 if len(SearchPattern(signature, 2)) == 1:

40 print('unique signature')

41 return signature

42 else:

43 # print('not unique signature')

44 continue

45

46 return None

47

48

49 ## 测试

50 print("pattern = ", GenerateFunctionSignature(0x320E21F))