解决间接 API 调用的 IDA Pro 脚本？

Question

通常，尤其是在处理恶意软件文件时，您最终会遇到所有 API 在运行时动态解析给定缓冲区内的情况，这种方法大大减慢了逆向过程（并使反编译器无用：（ DWORD *)dword_123456(INT, UINT)()) 因为分析师必须运行恶意软件、解析 api 并在每个 api 调用旁边手动添加注释。我找到了间接调用插件，但它似乎只适用于“标准”C++ 方法。是否有任何我不知道的脚本或功能能够修补可执行文件，即使在调试期间，以便以真实姓名调用 API？

Answer 1

在IDA 安装目录的idc 文件夹中，IDA 附带了一个名为renimp.idc 的脚本。只需在运行时附加 IDA（在恶意软件分析的情况下，您可能最好使用远程调试器），导航到解包器创建的 API 地址表并选择所有条目。然后运行上述脚本。它将重命名所有指向它指向的正确 API 的指针，因此 IDA 的类型库能够再次从其内部数据库中为它解析正确的 typedef。