网站 › 『脱壳破解区』 › IDA脚本 把PE文件中的资源保存为文件

女萝岩 发表于 2020-4-1 01:10

IDA脚本 把PE文件中的资源保存为文件

本帖最后由 女萝岩 于 2020-4-1 14:15 编辑

在用IDA分析程序的过程中有时候会遇到WriteFile操作，此时就想把这个文件给保存起来。





我以前是用OD调试，等它把文件写完就拷贝出来。今天尝试了一下IDA脚本，感觉良好，一劳永逸了。

使用的时候需要自行修改file addstartsize这三个变量。

#include <idc.idc>
//创建的文件和当前idb文件在同目录下
static main()
{
      
      auto file ="hahahehe.bin";
      
      auto addstart=0x101511e0;
      
      auto size=0x327a8;
      
      
      auto hfile=openfile(file);
      
      
      writefile(hfile,addstart,size);
      
      return 1;
      
}

static openfile(file)
{
      auto hfile=fopen(file,"wb");
      if(hfile==0)
      {
                Message("create file failed\n");
                return hfile ;
      }
      
      return hfile;
}


static writefile(hfile,addstart,size)
{
      auto ret=savefile(hfile,0,addstart,size);
      
      if(ret==0)
      {
                Mesage("write file error\n");
                return 0;
      }
      
      Message("success!");
      return 1;
}

女萝岩 发表于 2020-4-1 13:45

thornfish 发表于 2020-4-1 09:48
这个如何集成进去呢

这个是ida脚本，自行修改fileaddstart size这三个变量，保存为123.idc，然后用IDA打开一个idb文件，file script file 加载123.idc就行了。

涛之雨 发表于 2020-4-1 08:35

记得某些（大部分）安卓壳dump出来dex的时候是用的。。。
此外不知道是错觉还是啥。。。
总觉得py的快一点。。。。

pwp 发表于 2020-4-1 02:04

{:1_921:}牛逼的功能，那大佬，如何写进去呢？

klbd 发表于 2020-4-1 08:07

谢谢分享。

ishwei 发表于 2020-4-1 08:48

chen4321 发表于 2020-4-1 08:48

666，谢谢大佬分享

15295828305 发表于 2020-4-1 09:03

谢谢好兄弟

JerryLia 发表于 2020-4-1 09:06

感谢分享，下载看看！

铁狼 发表于 2020-4-1 09:19

这个二进制要自己转换吗？我的IDA没网速不知到
啥情况

thornfish 发表于 2020-4-1 09:48

这个如何集成进去呢

查看完整版本: IDA脚本 把PE文件中的资源保存为文件