FRC(Fast Rename from Clipboard)

前言

在分析某款固件过程中，由于去了符号表，但是好多的函数名还是能够根据其调用链分析出来的，例如：

我们不难猜测出这个一个注册函数的功能，只需要逐个复制字符串然后再到后面的sub_xxxx上重命名黏贴就能手动恢复函数名了。这一过程就十分繁琐了（选中字符串->复制->再选中未命名函数->n（rename global item）->黏贴->回车），为了能够节约这么一步骤，我就突发奇想是不是能够开发一个插件来减少其中的步骤，快速进行函数重命名操作呢？FRC的设计初衷就是这了。

需求分析

作为一个半吊子的ida插件设计者，大致整理了一下插件需要实现的功能：

通过快捷键实现字符串的复制
通过快捷键实现函数的重命名操作

接着就对这两个方向进行分析。

内容实现

通过快捷键实现字符串的复制

很幸运的是，当我们点击某一字符串后会直接将该字符串给选中，对该功能的实现来说无疑是极其匹配的（懒狗😋）

那么便敲定了，用户选中字符串后使用ctrl+c复制的内容将作为某一函数将要被命名的值。

这里我们需要引入pyperclip库来进行复制黏贴操作：

选中字符串后命令行导入pyperclip库查看黏贴结果

成功打印选中的字符！

重命名字符串的获取也就敲定了。而快捷键也就默认设置为系统的Ctrl+c复制字符串。

通过快捷键实现函数的重命名操作

ida9.0 python api删除了许多老版本的api，这对开发者来说无疑是痛苦的（~~还好我没搞过~~），那么就要从这一系列可用的python接口里调用。

模板

一个简单的模板

import idaapi
import idc

class MyPlugin(idaapi.plugin_t):  #  继承自 idaapi.plugin_t  这个类将定义插件的行为
    flags = 0
    comment = "插件注释"
    help = "插件帮助"
    wanted_name = "插件名称"
    wanted_hotkey = "热键"

    def init(self):  # init 方法在插件被加载时调用
        idaapi.msg("加载时输出窗口打印")
        return idaapi.PLUGIN_OK
    
    def run(self, arg):  # run 方法在插件被执行时调用
        idaapi.msg("运行时输出窗口打印")

    def term(self):  # term 方法在插件被卸载时调用
        idaapi.msg("卸载时输出窗口打印")

def PLUGIN_ENTRY():  # PLUGIN_ENTRY 函数是插件的入口点 返回一个插件对象的实例
    return MyPlugin()

想实现类似于ctrl+v的操作，为了不冲突设置为shift+v 热键绑定get√

函数重命名操作实现

如何实现函数重命名操作？翻翻api接口看看🤔

get_func_name(ea)–通过函数所在地址返回函数名字符串

retrieve function name
     ea - any address belonging to the function
returns: 0 - function doesn't exist
         otherwise returns function name

string get_func_name(long ea);

这里可以看到get_func_name()是基于逻辑地址来向上获取到对应的函数名

从这我们又可以发散一下思想，我们可以基于函数地址(0x41AE88)或者是基于操作数(0x409A54)实现函数的定位操作，随后进行重命名。

set_name(ea, name)–线性地址重命名操作

使用set_name(ea)来对函数进行重命名操作

基于逻辑地址的函数重命名操作

这种方法就是利用上面的get_func_name()来获取到对应的逻辑地址，再利用set_name(逻辑地址)实现对逻辑地址的重命名

优点：实现简单

只需要获取到对应的逻辑地址后再进行重命名操作即可

缺点：操作复杂

当我们鼠标选中sub_4333A8时，我们是通过idc.get_screen_ea()来获取到当前光标所在地址，此时get_func_name(ea)中传入的是0x41AEE0（也就是ea），而不是0x4333A8，这也就会导致get_func_name(ea)得到的值为空而不是我们想要修改的sub_4333A8，这时我们执行set_name(ea, new_name)将修改0x41AEE0地址的函数值