每天一个IDA小技巧（十一）IDA脚本基础和IDC1

IDA（Interactive Disassembler）是一款强大的反汇编器和逆向工程工具，它提供了丰富的脚本功能，允许用户自定义分析流程和自动化任务。本文主要讨论IDA的脚本基础，特别是IDC脚本语言。 IDA的脚本引擎支持两种语言：IDC（IDA Control）和IDAPython。IDC是IDA自带的原生脚本语言，它的语法与C语言类似，而IDAPython则是通过Python接口与IDA交互，提供了更高级的功能和更强大的编程能力。 执行IDA脚本主要有三种菜单选项和命令行方式： 1. "File -> Script File"：运行独立的IDC文件。 2. "File -> IDC Command"：执行少量IDC语句。 3. "File -> Python Command"：执行少量Python语句。 4. IDA工作区底部的命令行输入框：可以直接输入命令或脚本片段进行执行。 IDC数据类型主要包括： - 整数（long类型） - 字符串 - 浮点数 从IDA 5.6版本开始，IDC添加了更多变量类型，如对象、引用和函数指针。变量声明分为局部变量（auto）和全局变量（extern）。IDC的表达式支持基本运算符、三元运算符、逗号运算符和切片运算符，但不支持如C++中的复合赋值运算符（如+=, >>=, *=等）。 在IDC中，字符串是内置类型，处理字符串时无需像C语言那样考虑内存管理和零终止符。例如，"Hello" + "World" 直接拼接成"HelloWorld"。字符串的切片运算符类似于数组访问，允许提取子序列。 IDC的语句结构与C语言类似，每个语句以分号结束，支持try/catch和throw，但不支持switch-case结构。IDC中的块作用域不同于C，括号内的变量可以在外部引用，但不能在函数外部声明。IDC函数声明在脚本中是允许的，但在IDA命令对话框中不行。函数参数传递有值传递和地址传递两种方式，根据函数调用方式决定。 返回值处理与C语言一致，使用return关键字，但函数可以根据执行路径返回不同数据类型。IDA 5.6后，函数可以作为参数和返回值进行传递。 IDC对象系统没有明确的访问权限控制，所有类成员默认都是公共的。创建类数据成员只需直接赋值即可。例如： ```idc class MyClass { static long member; }; MyClass::member = 42; ``` 在IDC程序文件中，需要至少定义一个无参数的main函数，且通常会包含`#include <idc.idc>`来获取IDC库的宏定义。 IDC是IDA中进行自动化和分析的强大工具，它提供了丰富的功能，允许用户根据需求定制自己的分析流程。理解并熟练掌握IDC脚本语言，能极大地提高在逆向工程和软件分析中的效率。