[系统安全] 五十六.恶意软件分析 (8)IDA Python基础用法及CFG控制流图提取详解[下]

“

2024年4月28日是Eastmount的安全星球 —— 『网络攻防和AI安全之家』正式创建和运营的日子，该星球目前主营业务为 安全零基础答疑、安全技术分享、AI安全技术分享、AI安全论文交流、威胁情报每日推送、网络攻防技术总结、系统安全技术实战、面试求职、安全考研考博、简历修改及润色、学术交流及答疑、人脉触达、认知提升等。下面是星球的新人券，欢迎新老博友和朋友加入，一起分享更多安全知识，比较良心的星球，非常适合初学者和换安全专业的读者学习。

”

该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测，文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。漫漫长征路，偏向虎山行。享受过程，一起奋斗~

前文介绍了IDA Python配置过程和基础用法。这篇文章将尝试利用IDA Python提取恶意软件的控制流图（CFG），再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者，因此会遇到很多问题，欢迎各位大佬和读者指导，同时感谢李师弟的指导和交流。基础性基础，且看且珍惜。

文章目录：

• 一.测试样本生成

• 二.IDA手动提取CFG

• 1.IDA概述

• 2.IDA手动保存CFG

• 三.IDA Python提取CFG

• 1.函数提取

• 2.样本提取

• 四.CFG提取问题

• 五.总结

作者的github资源：

• 逆向分析：

• https://github.com/eastmountyxz/

  SystemSecurity-ReverseAnalysis

• 网络安全：

• https://github.com/eastmountyxz/

  NetworkSecuritySelf-study

声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。（参考文献见后）

---

一.测试样本生成

首先，我们编写一段C语言程序并生成对应的可执行文件。如下图所示：

该程序逻辑比较简单，包含一个条件语句、一个循环语句和一个函数调用。

`#include <stdio.h>``   ``int sub_num(int a, int b) {`    `int s;`    `s = a + b;`    `printf("函数运算结果: %d\n",s);`    `return s;``}``   ``int main() {`    `int i,m,n;`    `int result=0;``   `    `scanf("%d %d",&m,&n);`    `printf("输入的数字为:%d %d",m,n);``   `    `//条件语句`    `if (m>10) {`        `printf("数字大于10\n");`    `}`    `else {`        `printf("数字小于等于10\n");`    `}``   `    `//循环语句`    `for (i=0; i<=10; i++) {`        `result += i;`        `i++;`    `}`    `printf("1 + 2 + ... + 10 = %d\n",result);`    `    //函数`    `result = result + sub_num(m,n);`    `printf("最终输出结果: %d\n",result);`    `return 0;``}`

输出结果如下图所示：

编译生成的中间文件如下所示：

---

二.IDA手动提取CFG

接着介绍IDA Python配置过程，并讲解如何实现IDA手动提取控制流图（CFG）。

1.IDA概述

IDA Pro（Interactive Disassembler Professional）简称“IDA”，是Hex-Rays公司出品的一款交互式反汇编工具，是目前最棒的一个静态反编译软件，为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器。IDA Pro具有强大的功能，但操作较为复杂，需要储备很多知识，同时，它具有交互式、可编程、可扩展、多处理器等特点，可以通过Windows或Linux、MacOS平台来分析程序， 被公认为最好的逆向工程利器之一。

第一步，打开IDA Pro32软件选择一个exe文件载入，它将是我们要进行分析的程序，所分析的程序时上面撰写的C语言代码。

• 在“Load a new file”窗口中选择装载PE文件，包括text（代码块）、data（数据块）、rsrc（资源块）、idata（输入表）和edata（输出表）等，也可以载入二进制文件。

IDA反汇编包括两个阶段，首先将程序的代码和数据分开，分别标记函数并分析参数调用、跳转、指令关系等；接着如果IDA能识别文件的编译类型，就装载对应的编译器特征文件，给各函数赋名。同时，IDA会创建一个数据库，其组件分别保存在“.id0”、“.id1”、“.nam”和“.til”的文件里。

第二步，在弹出确认窗口中选择“Don’t show this message again”选项，在“Check for Hex-Rays product updates”中点击“OK”。运行结果如下图所示，接着可以开始我们的逆向分析。

第三步，选择“_main_0”函数查看程序的控制流图，下图可以看到代码及部分注释。

第四步，按下F5能够查看对应的源代码，另一个自定义函数为，可以查看其加分操作。

• v3 = sub_401005(v7, v6);

第五步，可以在Graph View和Text View中切换。

最后，关闭IDA Pro并保存数据库文件，下次载入时，可以直接加载数据库文件，获取之前分析的状态。

---

2.IDA手动保存CFG

函数调用图
在菜单栏中点击“view–>graphs–>Function calls”，查看函数调用图。

显示结果如下图所示：

• 为啥显示这么复杂呢？

• 如何提取关键函数的调用关系呢？

函数流程图
在菜单栏中点击“view–>graphs–>flowt chart”，查看函数流程图，其显示效果与IDA自带的反汇编流程视图相似。

在WinGraph中点击“file–>save as”，将调用关系另存为GDL（graph discription language）文本为test01.gdl。

保存的文件结果显示如下：

---

三.IDA Python提取CFG

该部分感谢李师弟的帮助，通过IDA Python批量提取样本的CFG，并生成gdl文件。整个工作目录如下所示：

`- get_cfg.py``- get_cfg_main.py``- get_sample_cfg.py``- sample`  `- test01.exe`

1.函数提取

首先定义主函数，通过主函数调用IDA软件和样本的路径，并构建analyse_module函数分析样本的CFG。关键代码如下所示：

`# coding: utf-8``# By:Eastmount & LJC 2024-05-10``import os``   ``#完整路径跨目录调用``IDA_PATH = r"C:\Software\IDAPro7.5\ida.exe"``IDA64_PATH = r"C:\Software\IDAPro7.5\ida64.exe"``analyser = r"D:\test_cfg\get_cfg.py"``   ``#命令行脚本批量获取样本cfg``def analyse_module(sample_list, sample_name):`    `ida_exe = IDA_PATH`    `for i in range(len(sample_list)):`        `sample = sample_list[i]`        `name = sample_name[i]`        `cmd = " ".join([ida_exe, f"-c -A -S" + '"' + analyser + ' ' + name + '"',  sample])`        `print(cmd)`        `os.system(cmd)``   `    `return True``   ``if __name__ == '__main__':`    `#批量样本地址`    `file_path = r'D:\test_cfg\sample'`    `sample_name = os.listdir(file_path)`    `sample_list = []`    `for i in range(len(sample_name)):`        `sample = file_path + '\\' + sample_name[i]`        `print(sample)`        `sample_list.append(sample)``   `    `analyse_module(sample_list, sample_name)`    `print("over!!!")`

接着调用get_cfg.py文件分别提取函数CFG信息，关键代码如下所示：

• get_func_name
• idaapi.get_func
• idc.get_func_attr
• gen_flow_graph

`#coding: utf-8``# By:Eastmount & LJC 2024-05-10``import idaapi``import ida_gdl``import idautils``import idc``   ``def main():``   `    `functions = idautils.Functions()`    `    for func_ea in functions:`        `func_name = idc.get_func_name(func_ea)`        `func = idaapi.get_func(func_ea)`        `start_ea = idc.get_func_attr(func_ea, FUNCATTR_START)`        `end_ea = idc.get_func_attr(func_ea, FUNCATTR_END)`        `gdl_file_name = "CFG_{}.gdl".format(func_name)`        `flowchart = idc.gen_flow_graph(gdl_file_name, "cfg", start_ea, end_ea, CHART_GEN_GDL)`        `if flowchart:`            `print("CFG for function {} has been saved as {}".format(func_name, gdl_file_name))`        `else:`            `print("Failed to save CFG for function {}".format(func_name))``   ``if __name__ == "__main__":`    `idaapi.auto_wait()`    `main()`    `idc.qexit(0)`

运行结果如下图所示：

该程序成功提取了各函数的CFG并生成gdl文件，然后部分函数是系统自带（未被使用）也被提取。

---

2.样本提取

接着调用get_sample_cfg.py文件分别提取样本的CFG信息，核心思想是捕获最大地址和最小地址之间的内容，关键代码如下所示：

`#coding: utf-8``# By:Eastmount & LJC 2024-05-10``import idautils``import ida_gdl``import idaapi``import idc``import time``   ``#根据样本最小地址和最大地址生成整个样本的cfg``def main(name):`    `start_ea = ida_ida.inf_get_min_ea()`    `end_ea = ida_ida.inf_get_max_ea()`    `print(start_ea)`    `print(end_ea)`    `filename = '{}_cfg.gdl'.format(name)`    `flowchart = idc.gen_flow_graph(filename, "cfg", start_ea, end_ea, CHART_GEN_GDL)`    `print(flowchart)`    `time.sleep(5)``   ``if __name__ == "__main__":`    `idaapi.auto_wait()`    `main(idc.ARGV[1])`    `idc.qexit(0)`

运行结果如下图所示：

并且生成和保存两个文件，文件内容如下所示。

• test01.exe.idb

• test01.exe_cfg.gdl

至此，成功利用IDA Python提取样本的CFG。

---

四.CFG提取问题

然后当前代码存在几个问题：

• 提取了很多不关键的函数或系统函数，如何提取关键函数呢？
• 是否能利用angr工具实现呢？
• 如何将gdl文件转换为特征向量供模型学习呢？
• 如何利用工具显示gdl文件（easy-graph转换成图）

如下图所示，IDA Python提取并生成的gdl文件远远大于导出的文件，并且包含大量系统函数，这些冗余信息会干扰实验分析。

• test01.exe.idb

• test01.exe_cfg.gdl（929KB）：本文Python代码提取

• test01.gdl（3.92KB）：IDA手工导出

手工导出gdl文件。

---

五.总结

写到这里，这篇文章就介绍完毕，希望对您有所帮助。

• 一.测试样本生成

• 二.IDA手动提取CFG
  1.IDA概述
  2.IDA手动保存CFG

• 三.IDA Python提取CFG
  1.函数提取
  2.样本提取

• 四.CFG提取问题

• 五.总结

『网络攻防和AI安全之家』目前收到了很多博友、朋友和老师的支持和点赞，尤其是一些看了我文章多年的老粉，购买来感谢，真的很感动，类目。未来，我将分享更多高质量文章，更多安全干货，真心帮助到大家。虽然起步晚，但贵在坚持，像十多年如一日的博客分享那样，脚踏实地，只争朝夕。继续加油，再次感谢！

(By:Eastmount 2024-05-13 夜于贵阳 )

---

参考文献如下，感谢师弟师妹们的帮助和耐心解答。

• [1] 《The Beginner’s Guide to IDAPython》 by Alexander Hanel

• [2] 项目地址：https://github.com/idapython

• [3] 官方IDA Python手册：https://www.hexrays.com/products/ida/support/idapython\_docs/

• [4] 《IDA pro权威指南》

• [5] [安全工具][原创]保存IDA Pro中生成的函数调用关系（图）- GreatDane

• [6] Easygraph：全面高效的图分析与社会计算开源工具 - PeppaRan

• [7] Genius 二进制文件函数特征提取的复现 - Erio

• [8] IDA Python安装与使用 - 17bdw

• [9] ida运行python脚本 - 51cto

• [10] 恶意功能定位 - 刘师妹

• [11] 比较简单的IDAPython脚本 - 知乎

前文回顾（下面的超链接可以点击喔）：

• [系统安全] 一.什么是逆向分析、逆向分析应用及经典扫雷游戏逆向

• [系统安全] 二.如何学好逆向分析及吕布传游戏逆向案例

• [系统安全] 三.IDA Pro反汇编工具初识及逆向工程解密实战

• [系统安全] 四.OllyDbg动态分析工具基础用法及Crakeme逆向破解

• [系统安全] 五.OllyDbg和Cheat Engine工具逆向分析植物大战僵尸游戏

• [系统安全] 六.逆向分析之条件语句和循环语句源码还原及流程控制

• [系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向

• [系统安全] 八.Windows漏洞利用之CVE-2019-0708复现及蓝屏攻击

• [系统安全] 九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及深度提权

• [系统安全] 十.Windows漏洞利用之SMBv3服务远程代码执行漏洞（CVE-2020-0796）复现

• [系统安全] 十一.那些年的熊猫烧香及PE病毒行为机理分析

• [系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析（上）病毒初始化

• [系统安全] 十三.熊猫烧香病毒IDA和OD逆向分析（中）病毒释放机理

• [系统安全] 十四.熊猫烧香病毒IDA和OD逆向分析（下）病毒感染配置

• [系统安全] 十五.Chrome密码保存功能渗透解析、Chrome蓝屏漏洞及音乐软件漏洞复现

• [系统安全] 十六.PE文件逆向基础知识(PE解析、PE编辑工具和PE修改)

• [系统安全] 十七.Windows PE病毒概念、分类及感染方式详解

• [系统安全] 十八.病毒攻防机理及WinRAR恶意劫持漏洞(bat病毒、自启动、蓝屏攻击)

• [系统安全] 十九.宏病毒之入门基础、防御措施、自发邮件及APT28宏样本分析

• [系统安全] 二十.PE数字签名之(上)什么是数字签名及Signtool签名工具详解

• [系统安全] 二十一.PE数字签名之(中)Signcode、PEView、010Editor、Asn1View工具用法

• [系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析

• [系统安全] 二十三.逆向分析之OllyDbg动态调试复习及TraceMe案例分析

• [系统安全] 二十四.逆向分析之OllyDbg调试INT3断点、反调试、硬件断点与内存断点

• [系统安全] 二十五.WannaCry勒索病毒分析 (1)Python复现永恒之蓝漏洞实现勒索加密

• [系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及解析

• [系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制分析及IDA和OD逆向

• [系统安全] 二十八.CS逆向分析 (1)你的游戏子弹用完了吗？Cheat Engine工具入门

• [系统安全] 二十九.外部威胁防护和勒索病毒对抗（深信服视频学习）

• [系统安全] 三十.WannaCry勒索病毒分析 (4)全网“最“详细的蠕虫传播机制解读

• [系统安全] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析

• [系统安全] 三十二.恶意代码检测(2)常用技术万字详解及总结

• [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术

• [系统安全] 三十四.恶意代码检测(4)编写代码自动提取IAT表、字符串及时间戳

• [系统安全] 三十五.Procmon工具基本用法及文件进程、注册表查看

• [系统安全] 三十六.学术分享之基于溯源图的APT攻击检测安全顶会论文总结

• [系统安全] 三十七.Metasploit技术之基础用法万字详解及防御机理

• [系统安全] 三十八.Metasploit后渗透技术信息收集、权限提权和功能模块详解及防护建议

• [系统安全] 三十九.恶意代码同源分析及BinDiff软件基础用法

• [系统安全] 四十.Powershell恶意代码检测系列 (1)Powershell基础入门及管道和变量的用法

• [系统安全] 四十一.Powershell恶意代码检测系列 (2)Powershell基础语法和注册表操作

• [系统安全] 四十二.Powershell恶意代码检测系列 (3)PowerSploit脚本渗透详解

• [系统安全] 四十三.Powershell恶意代码检测系列 (4)论文总结及抽象语法树（AST）提取

• [系统安全] 四十四.恶意软件分析 (1)静态分析Capa经典工具的基本用法万字详解

• [系统安全] 四十五.恶意软件分析 (2)静态分析Capa经典工具批量提取静态特征和ATT&CK技战术

• [系统安全] 四十六.恶意软件分析 (3)动态分析经典沙箱Cape的安装和基础用法详解

• [系统安全] 四十七.恶意软件分析 (4)Cape沙箱批量提取动态API特征

• [系统安全] 四十八.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解

• [系统安全] 四十九.恶意家族分类 (1)基于API序列和机器学习的恶意家族分类实例详解

• [系统安全] 五十.恶意家族分类 (2)基于API序列和深度学习的恶意家族分类实例详解

• [系统安全] 五十二.DataCon竞赛 (1)2020年Coremail钓鱼邮件识别及分类详解

• [系统安全] 五十三.DataCon竞赛 (2)2022年DataCon涉网分析之恶意样本IOC自动化提取详解

• [系统安全] 五十四.恶意软件分析 (6)PE文件解析及利用Python获取样本时间戳详解

• [系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]

• [系统安全] 五十六.恶意软件分析 (8)IDA Python基础用法及CFG控制流图提取详解[下]

• [系统安全] 五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注（含学术探讨）

• [系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注（含学术探讨）