IDA 特征码生成和搜索脚本

最近比较忙，就少写两句，直接附上源代码，其中的细节点就不再赘述，如有疑问，请留言。

一共就是实现了两个函数，一个用于搜索特征码 (SearchPattern)，一个用于生成特征码 (GenerateFunctionSignature)。

函数的参数和返回值：

1.SearchPattern 接收一个必要参数 hexStr(即要搜索的特征码)，一个可选参数 num(最多返回多少个匹配的结果)，返回一个存放所有符合条件的地址的 list

2.GenerateFunctionSignature 接收一个必要参数 addr(即要生成特征码的地址的起始位置)，返回唯一的特征码字符串，例如输入地址：0x12345678，返回字符串 48 8B F2 4C 8B F1 E8 ?? ?? ?? ??

··· 以下是 SearchPattern 的实现：

 1 import ida_bytes
 2 import ida_ida
 3 
 4 def SearchPattern(hexStr, num = 0):
 5     '''
 6     hexStr： 输入的特征码字符串，例：41 80 BE ?? ?? ?? ?? 0F 84 ?? ?? 
 7     num：    搜索到多少个结果时返回，为 0 时搜索全部匹配的地址
 8     '''
 9     
10     # 生成掩码
11     bMask = hexStr.replace('00', '01')
12     bMask = bMask.replace('??', '00')
13     bMask = bytes.fromhex(bMask)
14     # print(bMask)
15     
16     # 生成模式码
17     bPattern = hexStr.replace('??', '00')
18     bPattern = bytes.fromhex(bPattern)
19     # print(bPattern)
20 
21 
22     results = []
23     ea = ida_ida.inf_get_min_ea()
24     
25     while True:
26         ea = ida_bytes.bin_search(
27             ea + 1, 
28             ida_ida.inf_get_max_ea(), 
29             bPattern, 
30             bMask, 
31             1, 
32             ida_bytes.BIN_SEARCH_FORWARD| ida_bytes.BIN_SEARCH_NOBREAK| ida_bytes.BIN_SEARCH_NOSHOW)
33         if ea == ida_idaapi.BADADDR:
34             break
35         else:
36             # 这里可以稍作修改，让返回值变为当前函数的首地址
37             results.append(hex(ea))
38             if num != 0 and len(results) >= num:
39                 break
40     # print("find {} result".format(len(results)))
41     
42     return results
43 
44 
45 ## 测试
46 print(SearchPattern("48 8B C4 48 89 50 ??", 3))

··· 以下是 GenerateFunctionSignature 的实现：

 1 import ida_bytes, ida_ua
 2 
 3 def GenerateFunctionSignature(funcBase):
 4     # 初始化要用到的变量
 5     instruction = ida_ua.insn_t()
 6     offset = 0
 7     signature = ""
 8     
 9     # 最多分析 100 条指令
10     for count in range(1, 101):
11         ida_ua.decode_insn(instruction, funcBase + offset)
12         offset += instruction.size
13         patternTemp = [0 for i in range(0, instruction.size)]
14         
15         
16         # 遍历当前指令的全部操作数，并将部分操作数的机器码置为 ??
17         for op in instruction.ops:
18             if op.type == o_void:
19                 continue
20             #  模糊位 ?? 的匹配条件：
21             # and op.type != ida_ua.o_phrase and op.type != ida_ua.o_displ
22             elif (op.type != ida_ua.o_reg):
23                 for index in range(op.offb, instruction.size):
24                     patternTemp[index] = "??"
25 
26 
27         # 读入除模糊位之外的机器码
28         for index in range(0, instruction.size):
29             if patternTemp[index] == "??":
30                 pass
31             else:
32                 byteStr = format(ida_bytes.get_byte(instruction.ea + index), '02X')
33                 patternTemp[index] = byteStr
34             signature = signature + ' ' + patternTemp[index]
35 
36         
37         # 每分析 3 条指令，判断一次当前的 signature 是否唯一
38         if count%3 == 0:
39             if len(SearchPattern(signature, 2)) == 1:
40                 print('unique signature')
41                 return signature
42             else:
43                 # print('not unique signature')
44                 continue
45             
46     return None
47     
48 
49 ## 测试
50 print("pattern = ", GenerateFunctionSignature(0x320E21F))