IDA脚本 把PE文件中的资源保存为文件

女萝岩

在用IDA分析程序的过程中有时候会遇到WriteFile操作，此时就想把这个文件给保存起来。





我以前是用OD调试，等它把文件写完就拷贝出来。今天尝试了一下IDA脚本，感觉良好，一劳永逸了。

使用的时候需要自行修改file addstart  size这三个变量。

[C] 纯文本查看 复制代码

#include <idc.idc>
//创建的文件和当前idb文件在同目录下
static main()
{
        
        auto file ="hahahehe.bin";
        
        auto addstart=0x101511e0;
        
        auto size=0x327a8;
        
        
        auto hfile=openfile(file);
        
        
        writefile(hfile,addstart,size);
        
        return 1;
        
}

static openfile(file)
{
        auto hfile=fopen(file,"wb");
        if(hfile==0)
        {
                Message("create file failed\n");
                return hfile ;
        }
        
        return hfile;
}


static writefile(hfile,addstart,size)
{
        auto ret=savefile(hfile,0,addstart,size);
        
        if(ret==0)
        {
                Mesage("write file error\n");
                return 0;
        }
        
        Message("success!");
        return 1;
}

女萝岩

thornfish 发表于 2020-4-1 09:48
这个如何集成进去呢

这个是ida脚本，自行修改file  addstart size这三个变量，保存为123.idc，然后用IDA打开一个idb文件，file script file 加载123.idc就行了。

涛之雨

记得某些（大部分）安卓壳dump出来dex的时候是用的。。。
此外不知道是错觉还是啥。。。
总觉得py的快一点。。。。

pwp

牛逼的功能，那大佬，如何写进去呢？

klbd

谢谢分享。

chen4321

666，谢谢大佬分享

15295828305

谢谢好兄弟

JerryLia

感谢分享，下载看看！

铁狼

这个二进制要自己转换吗？我的IDA没网速不知到
啥情况

thornfish

这个如何集成进去呢