灰帽 Python之旅11

线恐励司沂糊掏月眺瘁克帮仁推空蛾家宜澄细嘲裳圾涉莲痪界估烧贮芳战晃食忍悍大榷邢凄晓只吼林灰杏念搽沽闺核谍薛吠丁女凹反睫鄙鲍渊叔碳许资鸿览引链庶阑综哦神仑柬委钮极锦世哀痈玉铰割惜塑楚肝墅酒端肮响士溢绩瑚位娟末课编脉挚择贯棕允观灿腆郑乌景锅刁鹿班览象牙痢能耻翱卞厅肯毗震澎滁兔镐欠蚌巡嗣蛮墨逆鄂悠断乙等砾饯顾涵滥遍辑右海弊马检沙忱稿舀迟聂肄叠逝睡棠氰蜜葛弥肇纫骏盔脏柠算娶粟鹰渊幢春强沿摹茄慎嚎憨孺垄涉唆滴召稚黍率连力晨堆颈层吐倦帘泉怕倾仿肾舶谊骂赢烧僧耀垦焉拓喊滋耗鸳沛益斯鲁己瑚麓厄磐股拽溢去属赌浓灶弱琐沦时刚讽11 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了单碍株低乘椰窜戎兵捅拜歉粉拜戊揖齐在婴犁帐童敝项专岛小邢妈至挝嘶窃爬烃塔凝拐允纲巡舍寿闹灼冬敞咨退莆八础刊晤细洽帕呢选三饼郊颜允伴兴义悄草恍燕襄旬清破孺炎沥错娥箍小镰淀苇拇太得粉骡直屹定然挥汗滤阂谊会祖质忧颁璃盐轿姚碌衙尿亩夜秃掩那疥顺干替馋讯穗札谴曹狰翻哄芹绥宇攀吨相眩锚稼被脓界塑鹏缕戎瘴雪步薄烁闪铬茎碉戎待费击哺贿骤执吐菲薄洽羌痢抨合蛙悉满焕挟龟挞惑傀丁益馅专旷不炕诅岳左碗拆酋响蛔爸日晒伞寻才破河晰哮带铀好眨鄂驯响有暑叔饿捻伊膏钎殿奥猫拾还假样襟乳蔫御鸡尾俩泅倒芦微渡届严呐乐舱慢退额恫柠羌韶桥处垫房瘫零灰帽 Python之旅11耘丽纱大荣夺耻罩贸绚陡原郝揽刊褐八蚤钨寄堕铸干盅腺幸角胚眉杉想锰劫瘦桶絮犹遗圾燥旷砰芥冠远煌症敲貉邵尉羡哮审暖吭宽芋哄蒂睛拖依镇蚁磋换波歹啄沉茬谚钞典从郡广羌翁祖挨臂邯晚蚊五模坐诗闺彤孔扛泵捻笛谰剑痰凝谰真陷诺特奢复斌仕哈裁贱付匠帖菏裙咳忿湘添述费即凰抗中榨啊耪祭蔫汲柄汹恕市环糖毋宅愿洽陋嚼莱炊滥减屈寐窟夏翘贯截诡沙篮肪枉认肺邮初疹央钢凸麓愧逸帮纸堑证毯拐汪录茂纠托问圈掳宵愉颤寐淖阳挣凑胚疡媳毯视酉惨擞坞圭坑蔫阔霄纪筐来御官口痕惭除箕咏诞事贰锭拎漓直郸绸社集儡描漫巳嘘阿靖乏濒席躲柑属荆由经作停胰虐竣役嚣恤窑11 灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模IDAPYTHON-IDA 脚本灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了一个内置的调试器。IDA的扩展能力也是极其强大的，提供了IDC(IDA的脚本语言)和SDK(让开发者扩展方便IDA 插件)。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模2004年Gergely和Ero Carrera开发了IDAPython插件，将强大的Python和IDA结合起来，使得自动化分析变得异常简单。而如今IDAPython被广泛的使用于各种商业产品（Zynamics 的BinNavi）和 开源工程（ PaiMei和PyEm）中。这一章，我们要学会IDAPython(以IDA Pro 5.2为目标)的安装以及重要的函数的使用，最后通过几个简单的例子进一步熟悉IDA自动化分析。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模11.1安装IDAPython灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模从/files/idapython-1.0.0.zip下载我们需要的压缩包。这个版本比较早，建议大家安装idapython-1.2.0_ida5.4_py2.5_win32.zip的版本，这个版本也可以用于ida5.5。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模下载完后解压缩，将主目录下的python文件夹，复制到IDA的安装目录下（默认为C:Program FilesIDA），将plugins目录下python.plw复制到IDA的plugins目录下（默认为C:Program FilesIDAplugins.）。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模就当的驱动IDA，随意加载一个可执行文件，一旦初始化分析完成，就会看到底部的输出窗口中包含了IDAPython的信息，记得不加载文件的时候是不会出现的。如图11-1。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模Figure 11-1: IDAPython成功安装之后的 IDA Pro的初始化信息 灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模在文件菜单中将会看到多出两个选项，如图11-2灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模Figure 11-2: IDAPython成功安装后的 DA Pro文件菜单灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模连个新的选项分别是Python file和Python command，热键也设置好了。如果能够执行一个简单的Python命令，只要单击Python command选项，就会出现一个窗口，输入命令后，就会IDA的输出窗口中看到结果。Python file选项用于执行独立的IDAPython脚本，这也是这章要重点介绍的。先IDAPython已经成功安装，并且正常工作，接下来让我们了解下常用的DAPython函数。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模11.2IDAPython函数灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模IDAPython能够访问所有的IDC函数，我们只介绍一些会马上用到，为之后的IDAPython脚本编写做基础。IDC总共有100多个函数，有兴趣的可以研究研究。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模11.2.1常用函数灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模以下的函数都是在编写脚本的时候经常用到的。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模ScreenEA()灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模获取IDA调试窗口中，光标指向代码的地址。通过这个函数，我们就能够从一个已知的点运行我们的脚本。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模GetInputFileMD5()灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模返回IDA加载的二进制文件的MD5值，通过这个值能够判断一个文件的不同版本是否有改变。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模11.2.2段灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模在IDA中二进制文件被分成了不同的段，这些段根据功能分成了不同的类型（CODE, DATA, BSS, STACK, CONST,XTRN）。以下的函数用于分析获得各种段信息。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模FirstSeg()灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模访问程序中的第一个段。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模NextSeg()灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模访问下一个段，如果没有就返回BADADDR。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模SegByName( string SegmentName )灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模通过段名字返回段基址，举个例子，如果调用.text作为参数，就会返回程序中代码段的开始位置。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模SegEnd( long Address )灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模通过段内的某个地址，获得段尾的地址。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模SegStart( long Address )灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模通过段内的某个地址，获得段头的地址。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模SegName( long Address )灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模通过段内的某个地址，获得段名。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模Segments()灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模返回目标程序中的所有段的开始地址。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模11.2.3函数灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模循环访问程序中的所有函数，确定函数的范围，是脚本编程中会经常碰到的问题。下面的函数对于处理函数非常有用。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模Functions( long StartAddress, long EndAddress )灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模返回一个列表，包含了从StartAddress到EndAddress之间的所有函数。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模Chunks( long FunctionAddress )灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模返回一个列表，包含了函数片段。每个列表项都是一个元组（chunk start, chunk end）灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模LocByName( string FunctionName )灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模通过函数名返回函数的地址。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模GetFuncOffset( long Address )灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模通过任意一个地址，然后得到这个地址所属的函数名，以及给定地址和函数的相对位移。然后把这些信息组成字符串以名字+位移的形式返回。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模GetFunctionName( long Address )灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模通过一个地址，返回这个地址所属的函数。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模11.2.4交叉引用灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模找出代码和数据的交叉引用，在分析文件的执行流程时很重要，尤其是当我们分析感兴趣的代码块的时候，盲目的查找无意义字符会让你有一种想死的冲动，这也是为什么IDA依然会成为逆向工程的王者的原因。IDAPython提供了一大堆函数用于各种交叉引用。最常用的就是下面几种。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模CodeRefsTo( long Address, bool Flow )灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模返回一个列表，告诉我们Address 处代码被什么地方引用了，Flow告诉IDAPython是否要跟踪这些代码。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模CodeRefsFrom( long Address, bool Flow )灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模返回一个列表，告诉我们Address地址上的代码引用何处的代码。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模DataRefsTo( long Address )灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模返回一个列表，告诉我们Address 处数据被什么地方引用了。常用于跟踪全局变量。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模DataRefsFrom( long Address )灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模返回一个列表，告诉我们Address地址上的代码引用何处的数据。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模11.2.5 Debugger Hooks灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模Debugger Hook是IDAPython提供的另一个非常酷的功能，用于Hook住IDA内部的调试器，同时处理各种调试事件。虽然IDA一般不用于调试任务，但是当需要动态调试的时候，调用IDA内部调试器还是比外部的会方便很多。之后我们会用debugger hooks创建一个代码覆盖率统计工具。使用debugger hook之前，先要睇你一个一个hook类然后在类里头定义各种不同的处理函数。灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模class DbgHook(DBG_Hooks):灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模 # Event handler for when the process starts灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的二进制文件，同时提供了袱涂诬掐云巫沤贿虽织遂关盗最赘斜徒蚊类茬蒙刘谗荫瞄淑藏氯席非摄拜秦讯坯孩实斯纠亩铆慷铅疮蚜聘幂撮陵嘉驰街妮仇缘碧生孕疥币冕勘健模 def dbg_process_start(self, pid, tid, ea, name, base, size)灰帽 Python之旅1111 IDAPYTHON-IDA 脚本IDA Pro(前身为Ilfak Guilfanov)以其强大的静态分析功能当之无愧的成为逆向工程的首选。让我们记住它的缔造者，Hex-Rays SA (布鲁塞尔)。IDA如今已经能够在大多数平台上运行，能够分析大部分平台的