IDA脚本 把PE文件中的资源保存为文件

女萝岩

在用IDA分析程序的过程中有时候会遇到WriteFile操作，此时就想把这个文件给保存起来。





我以前是用OD调试，等它把文件写完就拷贝出来。今天尝试了一下IDA脚本，感觉良好，一劳永逸了。

使用的时候需要自行修改file addstart  size这三个变量。

[C] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47

#include <idc.idc> //创建的文件和当前idb文件在同目录下 static main() {                   auto file ="hahahehe.bin";                   auto addstart=0x101511e0;                   auto size=0x327a8;                             auto hfile=openfile(file);                             writefile(hfile,addstart,size);                   return 1;           }   static openfile(file) {         auto hfile=fopen(file,"wb");         if(hfile==0)         {                 Message("create file failed\n");                 return hfile ;         }                   return hfile; }     static writefile(hfile,addstart,size) {         auto ret=savefile(hfile,0,addstart,size);                   if(ret==0)         {                 Mesage("write file error\n");                 return 0;         }                   Message("success!");         return 1; }

女萝岩

thornfish 发表于 2020-4-1 09:48
这个如何集成进去呢

这个是ida脚本，自行修改file  addstart size这三个变量，保存为123.idc，然后用IDA打开一个idb文件，file script file 加载123.idc就行了。

涛之雨

记得某些（大部分）安卓壳dump出来dex的时候是用的。。。
此外不知道是错觉还是啥。。。
总觉得py的快一点。。。。

pwp

牛逼的功能，那大佬，如何写进去呢？

klbd

谢谢分享。

chen4321

666，谢谢大佬分享

15295828305

谢谢好兄弟

JerryLia

感谢分享，下载看看！

铁狼

这个二进制要自己转换吗？我的IDA没网速不知到
啥情况

thornfish

这个如何集成进去呢