這篇文章主要介紹了Dephi逆向工具Dede導(dǎo)出函數(shù)名MAP導(dǎo)入到IDA中,通過(guò)這個(gè)腳本，我們就可以把專(zhuān)業(yè)dephi程序分析的結(jié)果，轉(zhuǎn)移到IDA專(zhuān)業(yè)逆向代碼分析的平臺(tái)，實(shí)現(xiàn)聯(lián)動(dòng)，需要的朋友可以參考下

1.背景

在逆向Dephi程序時(shí)，會(huì)出現(xiàn)Dede軟件可以看到函數(shù)的函數(shù)名，但是IDA逆向的時(shí)候看不到，為了解決這個(gè)問(wèn)題，可以通過(guò)以下的方法來(lái)實(shí)現(xiàn)：

2.基礎(chǔ)知識(shí)

IDA因?yàn)闆](méi)有PDB文件，無(wú)法還原函數(shù)的原始名稱(chēng)，通過(guò)逆向工程師的匯編代碼識(shí)別，可以給函數(shù)手工重新命名，也可以使用IDC腳本語(yǔ)言來(lái)給特定的地址命名：

MakeName(0x006E624C, "TSingleForm.ComboBox1Change");

基于這個(gè)原理，我們查找一下DEde如何生成這樣的“地址：函數(shù)”的對(duì)應(yīng)表。

3.實(shí)操

1.從Dede中導(dǎo)出地址函數(shù)表

找到文件夾里的events.txt,這就是包含函數(shù)地址和函數(shù)名的文件。

2.運(yùn)行python腳本把events.txt轉(zhuǎn)化為IDC腳本；

以下的腳本打開(kāi)腳本相同目錄下的events.txt，用.split()方法把地址和函數(shù)名裝入list[0]和list[1]中，無(wú)函數(shù)名的過(guò)濾掉。

import os
try:
    import chardet
except:
    os.system('pip install chardet')
    import chardet
def check_charset(file_path):
    import chardet
    with open(file_path, "rb") as f:
        data = f.read(4)
        charset = chardet.detect(data)['encoding']
    return charset
def map2idc(in_file, out_file):
    with open(out_file, 'w') as fout:
        fout.write('#include <idc.idc>\n')
        fout.write('static main()\n{\n')
        with open(in_file,encoding=check_charset(in_file)) as fin:
            for line in fin:
                list = line.split()
                if len(list) == 2 and len(str(list[1])) == 8 and str(list[1]).isalnum():
                    if(list[1][-4:]!=list[0][-4:]):  #函數(shù)名==地址的，不要
                        fout.write('\tMakeName(0x%s, "%s");\n' % (list[1], list[0]))
        fout.write('}\n')
def main():
    return map2idc("./events.txt","./ida.idc")

把上面的python復(fù)制到.py文件里，python腳本和events.txt放在同一個(gè)目錄下，運(yùn)行python腳本，就會(huì)生成ida.idc文件。一個(gè)簡(jiǎn)單的idc腳本如下：

#include <idc.idc>
static main()
{
	MakeName(0x0040178C, "TObject.System.GetSpace(Integer):TBlock;");
}

3.運(yùn)行idc腳本，重命名函數(shù)

打開(kāi)Ida，F(xiàn)ile-->Script file,選擇剛才生成的ida.idc文件，即可批量重命名函數(shù)了。

這樣，你的dehpi就有函數(shù)名了。

4.總結(jié)

通過(guò)這個(gè)腳本，我們就可以把專(zhuān)業(yè)dephi程序分析的結(jié)果，轉(zhuǎn)移到IDA專(zhuān)業(yè)逆向代碼分析的平臺(tái)，實(shí)現(xiàn)聯(lián)動(dòng)。

參考文獻(xiàn)：把MAP文件導(dǎo)入IDA Pro的小程序

到此這篇關(guān)于Dephi逆向工具Dede導(dǎo)出函數(shù)名MAP導(dǎo)入到IDA中的文章就介紹到這了,更多相關(guān)MAP導(dǎo)入到IDA內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！