位置：首页>> 网络编程>> Python编程>> Dephi逆向工具Dede导出函数名MAP导入到IDA中的实现方法

Dephi逆向工具Dede导出函数名MAP导入到IDA中的实现方法

作者：向往生　　发布时间：2023-04-09 06:31:40　

标签：MAP,导入,IDA,Dephi

1.背景

在逆向Dephi程序时，会出现Dede软件可以看到函数的函数名，但是IDA逆向的时候看不到，为了解决这个问题，可以通过以下的方法来实现：

2.基础知识

IDA因为没有PDB文件，无法还原函数的原始名称，通过逆向工程师的汇编代码识别，可以给函数手工重新命名，也可以使用IDC脚本语言来给特定的地址命名：

MakeName(0x006E624C, "TSingleForm.ComboBox1Change");

基于这个原理，我们查找一下DEde如何生成这样的“地址：函数”的对应表。

3.实操

1.从Dede中导出地址函数表

找到文件夹里的events.txt,这就是包含函数地址和函数名的文件。

2.运行python脚本把events.txt转化为IDC脚本；

以下的脚本打开脚本相同目录下的events.txt，用.split()方法把地址和函数名装入list[0]和list[1]中，无函数名的过滤掉。

import os
try:
import chardet
except:
os.system('pip install chardet')
import chardet
def check_charset(file_path):
import chardet
with open(file_path, "rb") as f:
data = f.read(4)
charset = chardet.detect(data)['encoding']
return charset
def map2idc(in_file, out_file):
with open(out_file, 'w') as fout:
fout.write('#include <idc.idc>\n')
fout.write('static main()\n{\n')
with open(in_file,encoding=check_charset(in_file)) as fin:
for line in fin:
list = line.split()
if len(list) == 2 and len(str(list[1])) == 8 and str(list[1]).isalnum():
if(list[1][-4:]!=list[0][-4:]): #函数名==地址的，不要
fout.write('\tMakeName(0x％s, "％s");\n' ％ (list[1], list[0]))
fout.write('}\n')
def main():
return map2idc("./events.txt","./ida.idc")