CTO (Call Tree Overviewer) 是一个 IDA 插件,用于创建简单高效的函数调用树图。它还可以汇总函数信息,例如内部函数调用、API 调用、静态链接库函数调用、未解析的函数调用、字符串引用、结构成员访问、特定注释。
CTO 有另一个名为“CTO Function Lister”的帮助插件,尽管它可以作为一个独立的工具工作。您可以认为这是功能窗口的增强版本。它列出了带有汇总重要信息的功能,这与 CTO 的功能相同。您也可以使用正则表达式过滤器来查找具有特定模式的节点。
CTO 插件提供了函数调用图的近似视图风格的表示。它允许您检查函数之间的路径(并将生成新的专用图表显示这些路径)。此外,该插件还提供了一个替代函数列表,其中包括交叉引用、字符串文字和许多其他内容的摘要(这些信息也可以作为图形提示)。
-
IDA Pro 7.4 或更高版本
-
Python 3.x
安装:
将“cto_plugin.py”和“cto_func_lister_plugin.py”以及“cto”文件夹包括其下的文件和文件夹放入IDA用户目录的“plugins”文件夹中。
如何使用
要启动 CTO,请按 Alt+Shift+C。
如果要扩展路径,请双击“...”符号。如果要基于不同的目标函数创建图形,请跳转到目标函数,单击 CTO 窗口,然后按“F”键。通过按 CTO 窗口上的“H”键查看帮助。
要启动 CTO Function Lister,请按 Alt+Shift+F。在 CTO Function Lister 窗口中按“H”键也可以查看帮助。
已知的问题
-
由于某些原因,CTO Function Lister 在 Windows 上运行时会在 Linux 上的 IDA 上崩溃。但我无法修复它,因为我没有那个。
QSortFilterProxyModel: index from wrong model passed to mapToSource
-
目前,CTO 专注于 Intel x64/x86 架构。
-
在包含 SP1 的 IDA 7.6 上,由于 IDA 的错误,您将无法使用 ESC 在 CTO 的窗口上查看 backword 位置历史记录。相反,如果您按下它,它将关闭 CTO 窗口。我报告了这个错误,它已在内部修复但尚未发布。如果您想使用它,您将需要一个固定的 ida*.exe 二进制文件。询问 hex-rays 支持。
PPT:
https://vblocalhost.com/uploads/2021/09/VB2021-14.pdf
下载地址:
感谢无糖学院导师戴华老师分享
欢迎关注公众号MicroPest
原文始发于微信公众号(无糖反网络犯罪研究中心):IDA 2021插件作品:CTO用法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论