“

2024年4月28日是Eastmount的安全星球 —— 『网络攻防和AI安全之家』正式创建和运营的日子，该星球目前主营业务为 安全零基础答疑、安全技术分享、AI安全技术分享、AI安全论文交流、威胁情报每日推送、网络攻防技术总结、系统安全技术实战、面试求职、安全考研考博、简历修改及润色、学术交流及答疑、人脉触达、认知提升等。下面是星球的新人券，欢迎新老博友和朋友加入，一起分享更多安全知识，比较良心的星球，非常适合初学者和换安全专业的读者学习。

”

该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测，文章会更加聚焦，更加系统，更加深入，也是作者的慢慢成长史。漫漫长征路，偏向虎山行。享受过程，一起奋斗~

前文介绍了IDA Python配置过程和基础用法。这篇文章将尝试利用IDA Python提取恶意软件的控制流图（CFG），再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者，因此会遇到很多问题，欢迎各位大佬和读者指导，同时感谢李师弟的指导和交流。基础性基础，且看且珍惜。

文章目录：

• 一.测试样本生成

• 二.IDA手动提取CFG

• 1.IDA概述

• 2.IDA手动保存CFG

• 三.IDA Python提取CFG

• 1.函数提取

• 2.样本提取

• 四.CFG提取问题

• 五.总结

作者的github资源：

• 逆向分析：

• https://github.com/eastmountyxz/

  SystemSecurity-ReverseAnalysis

• 网络安全：

• https://github.com/eastmountyxz/

  NetworkSecuritySelf-study

声明：本人坚决反对利用教学方法进行犯罪的行为，一切犯罪行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解它们背后的原理，更好地进行防护。（参考文献见后）

一.测试样本生成

首先，我们编写一段C语言程序并生成对应的可执行文件。如下图所示：

该程序逻辑比较简单，包含一个条件语句、一个循环语句和一个函数调用。

#include <stdio.h>int sub_num(int a, int b) {    int s;    s = a + b;    printf("函数运算结果: %dn",s);    return s;}int main() {    int i,m,n;    int result=0;    scanf("%d %d",&m,&n);    printf("输入的数字为:%d %d",m,n);    //条件语句    if (m>10) {        printf("数字大于10n");    }    else {        printf("数字小于等于10n");    }    //循环语句    for (i=0; i<=10; i++) {        result += i;        i++;    }    printf("1 + 2 + ... + 10 = %dn",result);    //函数    result = result + sub_num(m,n);    printf("最终输出结果: %dn",result);    return 0;}

输出结果如下图所示：

编译生成的中间文件如下所示：

二.IDA手动提取CFG

接着介绍IDA Python配置过程，并讲解如何实现IDA手动提取控制流图（CFG）。

1.IDA概述

IDA Pro（Interactive Disassembler Professional）简称“IDA”，是Hex-Rays公司出品的一款交互式反汇编工具，是目前最棒的一个静态反编译软件，为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器。IDA Pro具有强大的功能，但操作较为复杂，需要储备很多知识，同时，它具有交互式、可编程、可扩展、多处理器等特点，可以通过Windows或Linux、MacOS平台来分析程序， 被公认为最好的逆向工程利器之一。

第一步，打开IDA Pro32软件选择一个exe文件载入，它将是我们要进行分析的程序，所分析的程序时上面撰写的C语言代码。

• 在“Load a new file”窗口中选择装载PE文件，包括text（代码块）、data（数据块）、rsrc（资源块）、idata（输入表）和edata（输出表）等，也可以载入二进制文件。

IDA反汇编包括两个阶段，首先将程序的代码和数据分开，分别标记函数并分析参数调用、跳转、指令关系等；接着如果IDA能识别文件的编译类型，就装载对应的编译器特征文件，给各函数赋名。同时，IDA会创建一个数据库，其组件分别保存在“.id0”、“.id1”、“.nam”和“.til”的文件里。

第二步，在弹出确认窗口中选择“Don’t show this message again”选项，在“Check for Hex-Rays product updates”中点击“OK”。运行结果如下图所示，接着可以开始我们的逆向分析。

第三步，选择“_main_0”函数查看程序的控制流图，下图可以看到代码及部分注释。

第四步，按下F5能够查看对应的源代码，另一个自定义函数为，可以查看其加分操作。

• v3 = sub_401005(v7, v6);

第五步，可以在Graph View和Text View中切换。

最后，关闭IDA Pro并保存数据库文件，下次载入时，可以直接加载数据库文件，获取之前分析的状态。

2.IDA手动保存CFG

函数调用图
在菜单栏中点击“view–>graphs–>Function calls”，查看函数调用图。

显示结果如下图所示：

• 为啥显示这么复杂呢？

• 如何提取关键函数的调用关系呢？

函数流程图
在菜单栏中点击“view–>graphs–>flowt chart”，查看函数流程图，其显示效果与IDA自带的反汇编流程视图相似。

在WinGraph中点击“file–>save as”，将调用关系另存为GDL（graph discription language）文本为test01.gdl。

保存的文件结果显示如下：

三.IDA Python提取CFG

该部分感谢李师弟的帮助，通过IDA Python批量提取样本的CFG，并生成gdl文件。整个工作目录如下所示：

- get_cfg.py- get_cfg_main.py- get_sample_cfg.py- sample  - test01.exe

1.函数提取

首先定义主函数，通过主函数调用IDA软件和样本的路径，并构建analyse_module函数分析样本的CFG。关键代码如下所示：

# coding: utf-8# By:Eastmount & LJC 2024-05-10import os#完整路径跨目录调用IDA_PATH = r"C:SoftwareIDAPro7.5ida.exe"IDA64_PATH = r"C:SoftwareIDAPro7.5ida64.exe"analyser = r"D:test_cfgget_cfg.py"#命令行脚本批量获取样本cfgdef analyse_module(sample_list, sample_name):    ida_exe = IDA_PATH    for i in range(len(sample_list)):        sample = sample_list[i]        name = sample_name[i]        cmd = " ".join([ida_exe, f"-c -A -S" + '"' + analyser + ' ' + name + '"',  sample])        print(cmd)        os.system(cmd)    return Trueif __name__ == '__main__':    #批量样本地址    file_path = r'D:test_cfgsample'    sample_name = os.listdir(file_path)    sample_list = []    for i in range(len(sample_name)):        sample = file_path + '\' + sample_name[i]        print(sample)        sample_list.append(sample)    analyse_module(sample_list, sample_name)    print("over!!!")

接着调用get_cfg.py文件分别提取函数CFG信息，关键代码如下所示：

• get_func_name
• idaapi.get_func
• idc.get_func_attr

• gen_flow_graph

#coding: utf-8# By:Eastmount & LJC 2024-05-10import idaapiimport ida_gdlimport idautilsimport idcdef main():    functions = idautils.Functions()    for func_ea in functions:        func_name = idc.get_func_name(func_ea)        func = idaapi.get_func(func_ea)        start_ea = idc.get_func_attr(func_ea, FUNCATTR_START)        end_ea = idc.get_func_attr(func_ea, FUNCATTR_END)        gdl_file_name = "CFG_{}.gdl".format(func_name)        flowchart = idc.gen_flow_graph(gdl_file_name, "cfg", start_ea, end_ea, CHART_GEN_GDL)        if flowchart:            print("CFG for function {} has been saved as {}".format(func_name, gdl_file_name))        else:            print("Failed to save CFG for function {}".format(func_name))if __name__ == "__main__":    idaapi.auto_wait()    main()    idc.qexit(0)

运行结果如下图所示：

该程序成功提取了各函数的CFG并生成gdl文件，然后部分函数是系统自带（未被使用）也被提取。

2.样本提取

接着调用get_sample_cfg.py文件分别提取样本的CFG信息，核心思想是捕获最大地址和最小地址之间的内容，关键代码如下所示：

#coding: utf-8# By:Eastmount & LJC 2024-05-10import idautilsimport ida_gdlimport idaapiimport idcimport time#根据样本最小地址和最大地址生成整个样本的cfgdef main(name):    start_ea = ida_ida.inf_get_min_ea()    end_ea = ida_ida.inf_get_max_ea()    print(start_ea)    print(end_ea)    filename = '{}_cfg.gdl'.format(name)    flowchart = idc.gen_flow_graph(filename, "cfg", start_ea, end_ea, CHART_GEN_GDL)    print(flowchart)    time.sleep(5)if __name__ == "__main__":    idaapi.auto_wait()    main(idc.ARGV[1])    idc.qexit(0)

运行结果如下图所示：

并且生成和保存两个文件，文件内容如下所示。

• test01.exe.idb

• test01.exe_cfg.gdl

至此，成功利用IDA Python提取样本的CFG。

四.CFG提取问题

然后当前代码存在几个问题：

• 提取了很多不关键的函数或系统函数，如何提取关键函数呢？
• 是否能利用angr工具实现呢？
• 如何将gdl文件转换为特征向量供模型学习呢？
• 如何利用工具显示gdl文件（easy-graph转换成图）

如下图所示，IDA Python提取并生成的gdl文件远远大于导出的文件，并且包含大量系统函数，这些冗余信息会干扰实验分析。

• test01.exe.idb

• test01.exe_cfg.gdl（929KB）：本文Python代码提取

• test01.gdl（3.92KB）：IDA手工导出

手工导出gdl文件。

五.总结

写到这里，这篇文章就介绍完毕，希望对您有所帮助。

• 一.测试样本生成

• 二.IDA手动提取CFG
  1.IDA概述
  2.IDA手动保存CFG

• 三.IDA Python提取CFG
  1.函数提取
  2.样本提取

• 四.CFG提取问题

• 五.总结

『网络攻防和AI安全之家』目前收到了很多博友、朋友和老师的支持和点赞，尤其是一些看了我文章多年的老粉，购买来感谢，真的很感动，类目。未来，我将分享更多高质量文章，更多安全干货，真心帮助到大家。虽然起步晚，但贵在坚持，像十多年如一日的博客分享那样，脚踏实地，只争朝夕。继续加油，再次感谢！

(By:Eastmount 2024-05-13 夜于贵阳 )

参考文献如下，感谢师弟师妹们的帮助和耐心解答。

• [1] 《The Beginner’s Guide to IDAPython》 by Alexander Hanel

• [2] 项目地址：https://github.com/idapython

• [3] 官方IDA Python手册：https://www.hexrays.com/products/ida/support/idapython_docs/

• [4] 《IDA pro权威指南》

• [5] [安全工具][原创]保存IDA Pro中生成的函数调用关系（图）- GreatDane

• [6] Easygraph：全面高效的图分析与社会计算开源工具 - PeppaRan

• [7] Genius 二进制文件函数特征提取的复现 - Erio

• [8] IDA Python安装与使用 - 17bdw

• [9] ida运行python脚本 - 51cto

• [10] 恶意功能定位 - 刘师妹

• [11] 比较简单的IDAPython脚本 - 知乎

前文回顾（下面的超链接可以点击喔）：

• [系统安全] 一.什么是逆向分析、逆向分析应用及经典扫雷游戏逆向

• [系统安全] 二.如何学好逆向分析及吕布传游戏逆向案例

• [系统安全] 三.IDA Pro反汇编工具初识及逆向工程解密实战

• [系统安全] 四.OllyDbg动态分析工具基础用法及Crakeme逆向破解

• [系统安全] 五.OllyDbg和Cheat Engine工具逆向分析植物大战僵尸游戏

• [系统安全] 六.逆向分析之条件语句和循环语句源码还原及流程控制

• [系统安全] 七.逆向分析之PE病毒原理、C++实现文件加解密及OllyDbg逆向

• [系统安全] 八.Windows漏洞利用之CVE-2019-0708复现及蓝屏攻击

• [系统安全] 九.Windows漏洞利用之MS08-067远程代码执行漏洞复现及深度提权

• [系统安全] 十.Windows漏洞利用之SMBv3服务远程代码执行漏洞（CVE-2020-0796）复现

• [系统安全] 十一.那些年的熊猫烧香及PE病毒行为机理分析

• [系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析（上）病毒初始化

• [系统安全] 十三.熊猫烧香病毒IDA和OD逆向分析（中）病毒释放机理

• [系统安全] 十四.熊猫烧香病毒IDA和OD逆向分析（下）病毒感染配置

• [系统安全] 十五.Chrome密码保存功能渗透解析、Chrome蓝屏漏洞及音乐软件漏洞复现

• [系统安全] 十六.PE文件逆向基础知识(PE解析、PE编辑工具和PE修改)

• [系统安全] 十七.Windows PE病毒概念、分类及感染方式详解

• [系统安全] 十八.病毒攻防机理及WinRAR恶意劫持漏洞(bat病毒、自启动、蓝屏攻击)

• [系统安全] 十九.宏病毒之入门基础、防御措施、自发邮件及APT28宏样本分析

• [系统安全] 二十.PE数字签名之(上)什么是数字签名及Signtool签名工具详解

• [系统安全] 二十一.PE数字签名之(中)Signcode、PEView、010Editor、Asn1View工具用法

• [系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析

• [系统安全] 二十三.逆向分析之OllyDbg动态调试复习及TraceMe案例分析

• [系统安全] 二十四.逆向分析之OllyDbg调试INT3断点、反调试、硬件断点与内存断点

• [系统安全] 二十五.WannaCry勒索病毒分析 (1)Python复现永恒之蓝漏洞实现勒索加密

• [系统安全] 二十六.WannaCry勒索病毒分析 (2)MS17-010漏洞利用及解析

• [系统安全] 二十七.WannaCry勒索病毒分析 (3)蠕虫传播机制分析及IDA和OD逆向

• [系统安全] 二十八.CS逆向分析 (1)你的游戏子弹用完了吗？Cheat Engine工具入门

• [系统安全] 二十九.外部威胁防护和勒索病毒对抗（深信服视频学习）

• [系统安全] 三十.WannaCry勒索病毒分析 (4)全网“最“详细的蠕虫传播机制解读

• [系统安全] 三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析

• [系统安全] 三十二.恶意代码检测(2)常用技术万字详解及总结

• [系统安全] 三十三.恶意代码检测(3)基于机器学习的恶意代码检测技术

• [系统安全] 三十四.恶意代码检测(4)编写代码自动提取IAT表、字符串及时间戳

• [系统安全] 三十五.Procmon工具基本用法及文件进程、注册表查看

• [系统安全] 三十六.学术分享之基于溯源图的APT攻击检测安全顶会论文总结

• [系统安全] 三十七.Metasploit技术之基础用法万字详解及防御机理

• [系统安全] 三十八.Metasploit后渗透技术信息收集、权限提权和功能模块详解及防护建议

• [系统安全] 三十九.恶意代码同源分析及BinDiff软件基础用法

• [系统安全] 四十.Powershell恶意代码检测系列 (1)Powershell基础入门及管道和变量的用法

• [系统安全] 四十一.Powershell恶意代码检测系列 (2)Powershell基础语法和注册表操作

• [系统安全] 四十二.Powershell恶意代码检测系列 (3)PowerSploit脚本渗透详解

• [系统安全] 四十三.Powershell恶意代码检测系列 (4)论文总结及抽象语法树（AST）提取

• [系统安全] 四十四.恶意软件分析 (1)静态分析Capa经典工具的基本用法万字详解

• [系统安全] 四十五.恶意软件分析 (2)静态分析Capa经典工具批量提取静态特征和ATT&CK技战术

• [系统安全] 四十六.恶意软件分析 (3)动态分析经典沙箱Cape的安装和基础用法详解

• [系统安全] 四十七.恶意软件分析 (4)Cape沙箱批量提取动态API特征

• [系统安全] 四十八.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解

• [系统安全] 四十九.恶意家族分类 (1)基于API序列和机器学习的恶意家族分类实例详解

• [系统安全] 五十.恶意家族分类 (2)基于API序列和深度学习的恶意家族分类实例详解

• [系统安全] 五十二.DataCon竞赛 (1)2020年Coremail钓鱼邮件识别及分类详解

• [系统安全] 五十三.DataCon竞赛 (2)2022年DataCon涉网分析之恶意样本IOC自动化提取详解

• [系统安全] 五十四.恶意软件分析 (6)PE文件解析及利用Python获取样本时间戳详解

• [系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]

• [系统安全] 五十六.恶意软件分析 (8)IDA Python基础用法及CFG控制流图提取详解[下]

• [系统安全] 五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注（含学术探讨）

• [系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注（含学术探讨）

原文始发于微信公众号（娜璋AI安全之家）：[系统安全] 五十六.恶意软件分析 (8)IDA Python基础用法及CFG控制流图提取详解[下]