问题描述
现在我需要提取一些PE文件的函数调用图。我试过的一种方法是通过IDA的批处理模式和IDA的插件——IDAPython来提取fcg。命令和IDAPython脚本如下所示:
# gen_fcg.py
# -*- coding: utf-8 -*-
# python 2
import pickle
import idaapi
import logging
import sys
logging.basicConfig(level=logging.INFO,format='%(asctime)s - %(filename)s[line:%(lineno)d] - %(levelname)s - %(message)s')
def gen(out_name):
text_addr = ScreenEA()
fcg = dict()
for callee_addr in Functions():
callee_name = GetFunctionName(callee_addr)
for caller_addr in CodeRefsTo(callee_addr,0):
caller_name = GetFunctionName(caller_addr)
logging.info(callee_name + '-' + caller_name)
fcg[caller_name] = fcg.get(caller_name,set())
fcg[caller_name].add(callee_name)
pickle.dump(fcg,open(out_name,'w'))
print fcg
if __name__ == '__main__':
logging.info('sys.argv' + str(sys.argv))
idaapi.autoWait()
logging.info('start analyse...')
gen('D:\\Lab\\data_win\\fcg\\fcg.pkl')
idc.Exit(0)
给cmd输入以下命令,分析PE文件:
%IDAQ_PATH% -L./analysis.log -c -A -S./gen_cfg.py ./CRACKME.EXE
环境:IDA6.8,windows10,python2.7
这个方法得到的fcgs,没有以'sub_'开头(不是系统函数),只包含3个函数:['DialogFunc','start','StartAddress']。得到这个结果的文件占 50%。这是正常的吗? 或者有没有其他方法可以提取PE文件的fcg?
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)