如何解决为什么我得到的 PE 文件的函数调用图 (fcg) 如此奇怪,或者我怎样才能得到 fcg?
现在我需要提取一些PE文件的函数调用图。我试过的一种方法是通过IDA的批处理模式和IDA的插件——IDAPython来提取fcg。命令和IDAPython脚本如下所示:
# gen_fcg.py
# -*- coding: utf-8 -*-
# python 2
import pickle
import idaapi
import logging
import sys
logging.basicConfig(level=logging.INFO,format='%(asctime)s - %(filename)s[line:%(lineno)d] - %(levelname)s - %(message)s')
def gen(out_name):
text_addr = ScreenEA()
fcg = dict()
for callee_addr in Functions():
callee_name = GetFunctionName(callee_addr)
for caller_addr in CodeRefsTo(callee_addr,0):
caller_name = GetFunctionName(caller_addr)
logging.info(callee_name + '-' + caller_name)
fcg[caller_name] = fcg.get(caller_name,set())
fcg[caller_name].add(callee_name)
pickle.dump(fcg,open(out_name,'w'))
print fcg
if __name__ == '__main__':
logging.info('sys.argv' + str(sys.argv))
idaapi.autoWait()
logging.info('start analyse...')
gen('D:\\Lab\\data_win\\fcg\\fcg.pkl')
idc.Exit(0)
给cmd输入以下命令,分析PE文件:
%IDAQ_PATH% -L./analysis.log -c -A -S./gen_cfg.py ./CRACKME.EXE
环境:IDA6.8,windows10,python2.7
这个方法得到的fcgs,没有以'sub_'开头(不是系统函数),只包含3个函数:['DialogFunc','start','StartAddress']。得到这个结果的文件占 50%。这是正常的吗? 或者有没有其他方法可以提取PE文件的fcg?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。