如何在IDA中提取这些数据项的自动注释?


0

所以我这在IDA数据库中看到了很多:

; wchar_t off_BADF00D 
off_BADF00D  dd offset loc_6F0062 
       dd offset loc_740074 
       dd offset loc_6D006E+1 
       align 10h 

因此,考虑在顶部IDA 知道从代码中引用的注释,这应该是一个零结尾的宽字符的字符串。

我正在考虑编写一个简单的IDAPython脚本来查找这个实例,并强制这些项目自动转换为适当的数据类型。

但是,;:都没有显示任何内容,所以这既不是可重复的也不是正常的评论。那么它是什么以及如何使用IDAPython来提取它?如果是前面或后面的评论栏,我也尝试过(在这里发表评论时提示)。事实并非如此。

另外,如果有人能指出如何“引导”IDA做正确的事情,而没有脚本,我也会很高兴,但这引发了我的好奇心,所以只有奖励点。我仍然想知道如何获得显示的评论。

  0

它可能是一个“行上”评论。其他类型 - 曾经':'和重复';' - 出现在第一行代码或数据的末尾。 19 12月. 172017-12-19 20:48:52

  0

谢谢,好主意。但是,它们不是前面或后面的线。将相应地编辑我的问题。 19 12月. 172017-12-19 20:56:00

  0

它可能是某种形式的声明?函数声明在第一行上方显示。但这不是一个功能,所以...还有一些其他类型? 19 12月. 172017-12-19 21:26:57

  0

这是一个想法:如果您选择代码的这部分并将其转储为IDC文件(或者至少我认为这是包含所有命令的那个),您可以找出IDA内部调用的内容。 20 12月. 172017-12-20 18:51:37

1

不能告诉蟒蛇,但在IDC中,您可以通过GetType(ea)部分获得'评论'。我说部分是因为它给wchar_t[67]作为评论的结果,如; wchar_t aHttpSchemas_27[67]

  0

真棒,正是我在寻找的那种情况。是的,这种类型比IDA给它的变量名更有趣。 22 12月. 172017-12-22 19:33:00