调试方法

使用 pydevd

然后在需要调试处加入调试代码

GetOperandValue

作用

• 参数1： ea 虚拟地址
• 参数2： 操作数号

返回指令的操作数的被解析过的值

文档

def GetOperandValue(ea, n):

    """

    Get number used in the operand

    This function returns an immediate number used in the operand

    @param ea: linear address of instruction

    @param n: the operand number

    @return: value

        operand is an immediate value  => immediate value

        operand has a displacement     => displacement

        operand is a direct memory ref => memory address

        operand is a register          => register number

        operand is a register phrase   => phrase number

        otherwise                      => -1

    """

实例

.text:080488C9                 cmp     eax, 1

.text:080488CC                 jz      short loc_80488D8

.text:080488CE                 sub     esp, 0Ch

其中 080488CC 处的指令的16进制表示为

74 0A

这一条指令有一个操作数，所以通过 GetOperandValue 可以获取获取通过 ida 解析的值。

Python>hex(GetOperandValue(0x080488CC,0))

0x80488d8L

GetMnem

作用

• 参数1： ea 虚拟地址

返回指令的操作码的助记符

文档

def GetMnem(ea):

    """

    Get instruction mnemonics

    @param ea: linear address of instruction

    @return: "" - no instruction at the specified location

实例

.text:080488C9                 cmp     eax, 1

.text:080488CC                 jz      short loc_80488D8

.text:080488CE                 sub     esp, 0Ch

Python>GetMnem(0x80488CC)

jz

GetOpnd

作用

• 参数1： ea 虚拟地址
• 参数2： 操作数索引

返回指令的操作数

文档

def GetOpnd(ea, n):

    """

    Get operand of an instruction

    @param ea: linear address of instruction

    @param n: number of operand:

        0 - the first operand

        1 - the second operand

    @return: the current text representation of operand or ""

    """

实例

.text:080488C9                 cmp     eax, 1

.text:080488CC                 jz      short loc_80488D8

.text:080488CE                 sub     esp, 0Ch

Python>GetOpnd(0x80488CC,0)

loc_80488D8

GetDisasm

作用

• 参数1： ea 虚拟地址

得到指令的反汇编字符串

文档

def GetDisasm(ea):

    """

    Get disassembly line

    @param ea: linear address of instruction

    @return: "" - could not decode instruction at the specified location

    @note: this function may not return exactly the same mnemonics

           as you see on the screen.

    """

实例

.text:080488C9                 cmp     eax, 1

.text:080488CC                 jz      short loc_80488D8

.text:080488CE                 sub     esp, 0Ch

Python>GetDisasm(0x80488CC)

jz      short loc_80488D8

PrevHead 和 NextHead

作用

• 参数1： ea 虚拟地址

得到前一条或者后一条指令的地址

实例

.text:080488AF                 add     esp, 10h

.text:080488B2                 mov     [ebp+fd], eax

.text:080488B5                 sub     esp, 4

Python>hex(PrevHead(0x080488B2))

0x80488afL

Python>hex(NextHead(0x080488B2))

0x80488b5L