IDA

代码

将函数传入的参数指针,取值后Xor3计算的结果,作为返回值的重命名参数:
image.png

汇编

取“push offset [地址]”中地址保存的值,Xor 3:
image.png

IDA Python

文件:544A6B033668548D57574702DD13E3BE

  1. import idc
  2. import idaapi
  3. import easygui
  5. def GetAdd_StrXored3(addr):
  6.     # prev_head:获取上一行汇编
  7.     addr = prev_head(addr)
  8.     # print_insn_mnem:获取操作符
  9.     # print_operand:获取操作数
  10.     if print_insn_mnem(addr) == "push" and "offset" in print_operand(addr,0):
  11.         #get_operand_value:获取操作值
  12.         return get_operand_value(addr,0)
  13.     else:
  14.         return 0
  16. def GetStr_Xored3(addr):
  17.     outChar = ""
  18.     while(True):
  19.         byte = idaapi.get_byte(addr)
  20.         if byte != 0:
  21.             outChar += chr(byte)
  22.         else:
  23.             break
  24.         addr += 1
  25.     return outChar
  27. def GetStr_Decoded(str):
  28.     #加密Key值
  29.     key = 3
  30.     i = 0
  31.     outChar = ""
  32.     length = len(str)
  33.     while i < length:
  34.         outChar += chr(ord(str[i]) ^ key)
  35.         i += 1
  36.     return outChar
  38. if __name__ == '__main__':
  39.     strFunction = easygui.enterbox("请输入解密函数地址:\r\n*544A6B033668548D57574702DD13E3BE样本为402901")
  40.     addFunction = int(strFunction, 16)
  41.     print("解密函数地址:", hex(addFunction).upper()[2:])
  42.     for x in XrefsTo(addFunction, flags = 0):
  43.             addStrXored3 = GetAdd_StrXored3(x.frm)
  44.             if addStrXored3 != 0:
  45.                 strXored3 = GetStr_Xored3(addStrXored3)
  46.                 strDecoded = GetStr_Decoded(strXored3)
  47.                 print("加密 | 解密:", strXored3, " | ", strDecoded)
  48.                 set_cmt(prev_head(x.frm), strDecoded, 0)
  49.             else:
  50.                 continue
  51.     print("结束")

运行

image.png

打印

image.png

找BUG

个数不对,总共35处调用,打印结果是18个。
打印出交叉引用的函数地址和参数地址,发现有多个参数地址为0值:
image.png

汇编代码不同

即使是同一个函数,但是传输传递的方式有可能不同,该样本传递的参数有两种传参方式。
image.png

解决方案

对操作符为mov的上一行汇编,再取上一行地址。