-
-
[原创]用lua封装了下od插件api。
-
发表于: 2012-4-8 20:53
-
参照一个老外写的lua插件改的,用luajit实现。
Init.lua lua函数和一些数据类型
OllyCallBacks.lua 加载运行插件
autoexec.lua 加载运行以上脚本,进行初始化。
FindString.lua 一个例子查找所有unicode 或者ascii 字符串,显示在log窗口。
查询效果:
Init.lua lua函数和一些数据类型
OllyCallBacks.lua 加载运行插件
autoexec.lua 加载运行以上脚本,进行初始化。
FindString.lua 一个例子查找所有unicode 或者ascii 字符串,显示在log窗口。
function GetString(Address)
local buf = ffi.new("char[256]",0)
local txt
Od.Readmemory(buf, Address, 256, bit.bor(0x01,0x02));
if buf then
if buf[1] == 0 then
--做unicode 处理
local ulen = ffi.C.WideCharToMultiByte(0,0,ffi.cast("void *",buf),-1,nil,0,nil,nil)
txt = ffi.new("char[?]",ulen)
ffi.C.WideCharToMultiByte(0,0,ffi.cast("void *",buf),-1,txt,ulen,nil,nil)
return tostring(ffi.string(txt))
else
--做ANSI处理
txt = ffi.cast("char *",buf)
return tostring(ffi.string(txt))
end
end
return ""
end
function FindString()
local cBase = ffi.new("ulong[1]",0)
local cSize = ffi.new("ulong[1]",0)
local MAXCMDSIZE = 16
local cmdsize
local cmd = ffi.new("char[?]",MAXCMDSIZE)
local da = ffi.new("t_disasm")
local mem
local Text
Od.Getdisassemblerrange(cBase,cSize)
local dwBase,dwSize = cBase[0],cSize[0]
local index = dwBase
while index <= dwBase + dwSize do
Od.Readcommand(index,cmd);
cmdsize = Od.Disasm(cmd,MAXCMDSIZE,index,nil,da,4,0)
local asmcode = ffi.string(da.result)
local immconst = 0
if asmcode:find("move") or asmcode:find("lea") or asmcode:find("push") then
if da.immconst ~= 0 then
immconst = da.immconst
elseif da.adrconst ~= 0 then
immconst = da.immconst
end
mem = ffi.cast("t_memory *",Od.Findmemory(immconst))
if mem then
Text = GetString(immconst)
if Text ~= "" then
Od.Addtolist(index,0,"%s",string.format("%s------->%s",asmcode,Text))
end
end
end
index = index + cmdsize
end
end
FindString()
查询效果:
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
