适用于IDA7.5的资源提取插件及其简单使用方法
(编辑:jimmy 日期: 2024/9/21 浏览:3 次 )
IDA 在加载exe的时候默认是对于程序的resource section不做加载的。当然你可以选择在加载的时候勾选 load resource.
如下是不勾选load resource时候加载后的分区情况
如下是勾选Load resource后 的
可见此时即使手动加载了rsrc,里面内容仍然是没有经过任何解析和整理的。让人不知所以。
下来就给出一个比较粗略的整理插件,此插件采用了ida SDK 7.5进行了编译,对于ida7.5版本经过测试可用,对于ida7的其他版本是否适用我没有做太多实验,或许可用或许不行,大家可以试试。
适用方法是将附件的.dll拷贝到ida 安装目录的plugin子目录,重启IDA即可。
Resourcer_ida75.zip2022-12-11 21:16 上传点击文件名下载附件
如下图所示
可以采用菜单或者快捷键打开,如下选择是
加载过程中可能会有一些错误提示,选择忽略即可,并且勾选在整个session忽略
可见此时资源被按照类型进行了整理,比如打开一个RT_STRING类型的就可以看到里面的内容,而且可以针对性的Patch了。
当然针对resource有更成熟的工具可以进行编辑,比如exeScope,编辑资源非常强大,故而此插件仅仅作为ida里的一个小尝试,用处可能实际不大,仅仅作为学习交流使用。
如下是不勾选load resource时候加载后的分区情况
如下是勾选Load resource后 的
可见此时即使手动加载了rsrc,里面内容仍然是没有经过任何解析和整理的。让人不知所以。
下来就给出一个比较粗略的整理插件,此插件采用了ida SDK 7.5进行了编译,对于ida7.5版本经过测试可用,对于ida7的其他版本是否适用我没有做太多实验,或许可用或许不行,大家可以试试。
适用方法是将附件的.dll拷贝到ida 安装目录的plugin子目录,重启IDA即可。
Resourcer_ida75.zip2022-12-11 21:16 上传点击文件名下载附件如下图所示
可以采用菜单或者快捷键打开,如下选择是
加载过程中可能会有一些错误提示,选择忽略即可,并且勾选在整个session忽略
可见此时资源被按照类型进行了整理,比如打开一个RT_STRING类型的就可以看到里面的内容,而且可以针对性的Patch了。
当然针对resource有更成熟的工具可以进行编辑,比如exeScope,编辑资源非常强大,故而此插件仅仅作为ida里的一个小尝试,用处可能实际不大,仅仅作为学习交流使用。
下一篇:step by step采用x86emu进行部分函数调试的方法破解crackme密码