IDC脚本小试笔记

2016-10-10

概述

IDC是IDA扩展的一种脚本语言，用于自动化，或者扩展查询IDA数据库

可以使用IDC或者python编写

语法类似C、也应用了C++类似的对象特性和异常处理

可以是单独的IDC文件，通过File->Script File加载，
也可以是简单的IDC命令，通过File->Script Command来编写

变量

包括字符串、整形、浮点型，后来又增加了对象、引用、函数指针等变量类型。

字符串是IDC的本地数据类型。

变量通过auto声明，在使用前都需要声明，没有知名明确的变量类型。

1 2	auto addr, reg, val; /xxxx/ auto count = 0; // xxx

注释使用//或者/**/，语句使用；作为结束

不支持C风格数组（使用分片）、指针（使用引用）、结构体和联合体之类的复杂数据结构，之后引入了类的概念。

extern引入全局变量声明，不能声明中初始化值，可以在任何函数内外声明。

extern outglobal;
static mian()
{
    extern inglobal;
    outglobal = "xx";
    inglobal = 1;
}

表达式

支持几乎所有的C算术和逻辑运算符，除了几个特例外（？？）。包括三元运算？：，不支持op=(+=，*=， >>=)等复合运算符。后来可以支持逗号运算，

所有整数操作都是有符号的值处理。所以在整数比较和右移运算（>>）收到影响。

如果需要逻辑右移位，必须自己修改结果的最高位。

1	result = (x >> 1)&0x7fffffff;

字符串操作、分片（语法类似python字符串操作）

auto str = "string to slice";
auto s1, s2, s3, s4;
s1 = str[7:9];
s2 = str[:6];
s3 = str[10:];
s4 = str[5];

IDC语句

唯一不支持C中的switch语句

1 2	auto i; for(i = 0; i<10; i = i+1) {}

可以在花括号开始声明变量，但是变量没有具体作用域，可以在外面使用。但是函数中不能使用其他函数内部声明的变量。

if(1) {
    auto x; x = 10;
}
Message("x = %d\n", x);

IDC函数

只有独立IDC文件才支持函数，IDC命令框不支持函数。

使用static引入一个函数定义。函数参数只有参数名列表，逗号分隔。

static test(x, y, z) 
{
    auto a, b, c;
}

IDA5.6之前，函数参数严格使用传值传递，之后引入了传地址参数传递机制。采用哪种方式传递参数，使用调用者来决定的，而不是函数声明决定的。
传地址方式在调用方参数前加入&。

1
2
3

auto q=1, r=0, s=2;
test(q,r, s);
test(q, &r, s);//

函数声明不会指明要返回一个值，以及返回什么类型的值。

如果需要返回值，使用return返回指定的值即可。

可以在不同的路径返回不同类型的值。任何不显示返回值的函数默认返回为0.

IDA5.6之后，函数离成为IDC中第一类对象更近了一布，函数引用可以作为参数传给另一个函数，也可以将函数引用作为函数返回值。

static ret() {
    return Message;
}
staic call(fun, arg) {
    fun(arg);
}
static main() {
    auto f = ret();
    call(f, "Message Call");
}

IDC对象

class People
{
    People(name, age) {
        this.name = name;
        this.age = age;
    }
    ~People() {
    }
    print() {
        Message("name: %s, age: %d", this.name, this.age);
    }
}
static main() {
    People p;//error
    auto p = People("john", 12);
    p.print();
}

常用函数

//Array操作
class MyArray
{
	MyArray(name) {
		this.name = name;
		this.id = CreateArray(name);
		if(this.id == -1) {
			this.id = GetArrayId(name);
		}
	}
	~MyArray() {
		if(this.id != -1) {
			DeleteArray(this.id);
		}
	}

	SetArrayData(tag, idx, val) {
		if(tag == AR_LONG) {
			SetArrayLong(this.id, idx, val);
		}
		else if(tag == AR_STR) {
			SetArrayString(this.id, idx, val);
		}else {
			return 0;
		}
		return 1;
	}

	GetArrayData(tag, idx) {
		return GetArrayElement(tag, this.id, idx);
	}

	DelArrayData(tag, idx) {
		return DelArrayElement(tag, this.id, idx);
	}
}


auto val;
val = Byte(0x00EEEC1A);
Message("val = %08x \n", val);
print("xxxxxxxxxxxxxxxxxxxxxxxxxx");
//Warning("val = %08x\n", val);

//交互
val = AskStr("124", "enter a val"); //AskFile, AskYN
if(val == 0) {
	print("no enter val");
}else {
	Message("val = %08x \n", val);
}
Jump(0x400000);
Message("cursor = %08x\n", ScreenEA());

//字符串操作
//val= 0000302d
val = sprintf("%08x", 12333);//form
Message("val = %s \n", val);

////val = 0000302d 12333
Message("val = %08x %d\n", xtol(val), xtol(val));//atol xtol 
Message("A = %d %02x\n", ord("A"), ord("A")); //A = 65 41
Message("val size = %d\n", strlen(val));//strstr, substr, str[s:e]

//文件操作
class MyFile
{
	MyFile(name, mode) {
		this.h = fopen(name, mode);
		if(this.h == 0) {
			//error
		}
	}
	~MyFile() {
		if(this.h != 0) {
			fclose(this.h);
		}
	}
	
	length() {
		return filelength(this.h);
	}

	_fgetc() {
		return fgetc(this.h);
	}

	_fputc(val) {
		return fputs(val, this.h);
	}

	//_fprintf(format, ...) {
		//return fprintf(this.h, format, ...);
	//}
	
	_writestr(str) {
		return writestr(this.h, str);
	}
	_readstr() {
		return readstr(this.h);//-1=end
	}

	_writelongb(val) {
		return writelong(this.h, val, 1);//大端
	}

	_writelongs(val) {
		return writelong(this.h, val, 0);//小端
	}

	_readlongb() {
		return readlong(this.h, 1);
	}

	_readlongs() {
		return readlong(this.h, 0);
	}

	_writeshortb(val) {
		return writeshort(this.h, val, 1);
	}

	_writeshorts(val) {
		return writeshort(this.h, val, 0);
	}

	_readshortb() {
		return readshort(this.h, 1);
	}

	_readshorts() {
		return readshort(this.h, 0);
	}

	_loadfile(pos, addr, length) {
		return loadfile(this.h, pos, addr, length);
	}

	_savefile(pos, addr, length) {
		return savefile(this.h, pos, addr, length);
	}
}
//file
auto fn = AskFile(1, "*.txt", "save file");//1=save, 0=open
Message("save file = %s\n", fn);
auto mf = MyFile(fn, 'w');
//mf._writelongb(122222);
//mf._writestr("test file write data");
//writestr(mf.h, "test file write data");
//mf._savefile(0, 0x400000, 50);
Message("file data = %s", mf._readstr());
//Message("file data = %s", mf._readlongb());


//name, address
Message("%08x, %s\n", 0x400016, Name(0x400016));
//Message("xxx = %s\n", NameEx(0x0040BD14, 0x0040BD1C));
MakeNameEx(0x0040BD1C, "testxxxx", 1);
Message("xxx = %08x\n", LocByName("testxxxx"));
Message("xxx = %08x\n", LocByNameEx(0x0040BD14, "testxxxx"));

//function
Message("end = %08x, start = %08x\n", GetFunctionAttr(0x0040BD14, FUNCATTR_END), GetFunctionAttr(0x0040BD14, FUNCATTR_START));
Message("f = %s\n", GetFunctionName(0x0040BD1C));
Message("f_next = %08x\n", NextFunction(0x0040BD1C));
Message("f_prev = %08x\n", PrevFunction(0x0040BD1C));

//代码xref
auto cur = Rfirst(0x0040BD1C);//跳到哪里去，第一个
Message("to = %08x\n", cur);
Message("to = %08x\n", Rnext(0x0040BD1C, cur));//跳到哪里去，下一个
Message("to = %08x\n", XrefType());//fl_CN, fl_CF, fl_JN, fl_JF, fl_F
cur = RfirstB(0x40B928);//什么地方跳来的，第一个
Message("from = %08x\n", cur );
Message("from = %08x\n", RnextB(0x40B928, cur));//什么地方跳来的，下一个

//数据xref
cur = Dfirst(0x01410559);//改地址引用的第一个数据的地址
Message("to d = %08x\n", cur);
Message("to d = %08x\n", Dnext(0x01410559, cur));
Message("to = %08x\n", XrefType());//dr_O偏移量, dr_W数据写入, dr_R数据读取
cur = DfirstB(0x01411EF0);//引用该数据的第一个地址
Message("from d = %08x\n", cur);
Message("from d = %08x\n", DnextB(0x01411EF0, cur));//引用该数据的下一个地址

//database
MakeUnkn(0x0043DC57, DOUNK_SIMPLE);//undefine
MakeCode(0x0043DC57);//转为code
//MakeUnkn(0x0043DC57, DOUNK_SIMPLE);//undefine
//MakeUnkn(0x0043DC58, DOUNK_SIMPLE);//
//MakeWord(0x0043DC57);//转为数据 MakeWord, MakeDword
MakeComm(0x0043DC57, "just for test comment");//
//MakeFunction(s, e);//
//MakeStr(s, e);//

//search SEARCH_DOWN, SEARCH_NEXT, SEARCH_CASE
Message("code = %08x\n", FindCode(0x400000, 1));//从这开始搜索一条指令
Message("data = %08x\n", FindData(0x400000, 1));//从这开始搜索一个数据
//Message("find = %08x\n", FindBinary(0x400000, 1, "FFAB3740"));//从这开始搜索hex数据
auto row = 0;
auto column = 0;
//Message("find = %08x\n", FindText(0x400000, 1, row, column, "http://"));

//asm
Message("asm = %s\n", GetDisasm(0x0043D7D8));//asm = push    ebp             ; xxxxxxxxxxxxxxxx
Message("asm = %s\n", GetMnem(0x0043D7D8));//asm = push
Message("asm = %s\n", GetOpnd(0x0043D7D8, 0));//asm = ebp
Message("asm = %d\n", GetOpType(0x0043D7D8, 0));//asm = 1
Message("asm = %08x\n", GetOperandValue(0x0043D7D8, 0));//asm = 00000005
Message("asm = %s\n", CommentEx(0x0043D7D8, 0));//asm = xxxxxxxxxxxxxxxx

总结

总的来说，idc语法真的挺简单的，跟c基本一样，写起来不需要多大力气，就是需要熟悉idc提供的各类功能函数，应用起来才能得心应手。