IDA x86_64静态扫描脚本,汇编审计辅助脚本,参考mipsAudit@giantbranch:https://github.com/giantbranch/mipsAudit
使用的是python2,当前测试得较少,不完善之处请指正
拿到py文件之后放在同一目录下,ida里面选择File
-->Script file
,如下:
然后选择x86Audit.py
即可
同mipsAudit,辅助脚本功能如下:
- 找到危险函数的调用处,并且高亮该行
- 给参数赋值处加上注释
- 最后以表格的形式输出函数名,调用地址,参数,字符串提示,还有当前函数的缓冲区大小
双击addr等可进行跳转:
如下:
dangerous_functions = [
"strcpy",
"strcat",
"sprintf",
"read",
"getenv"
]
attention_function = [
"memcpy",
"strncpy",
"sscanf",
"strncat",
"snprintf",
"vprintf",
"printf"
]
command_execution_function = [
"system",
"execve",
"popen",
"unlink"
]
strcpy函数:
read函数:
printf函数:
system函数: