Soru:
Kullandığınız temel IDA Eklentileri veya IDA Python komut dosyaları nelerdir?
Mick
2013-03-20 17:57:53 UTC
view on stackexchange narkive permalink

IDA Pro konusunda biraz acemiyim ve hem RE topluluğunda hem de satıcılarında bulunan mükemmel eklentilerden bazılarını keşfediyorum. Benim için son derece değerli bulduğum küçük eklenti listem:

Verilmiş, bu çok kısa bir listedir. Hangi IDA Pro komut dosyalarını / eklentilerini temel buluyorsunuz?

Bu soru oldukça öznel ve daha çok bir anket gibi. Ancak, muhtemelen birçok eklenti ve komut dosyası vardır, bu yüzden bu bir topluluk wiki olabilir.
Bunu bir topluluk wiki yapmak niyetindeydim, ancak bu bir seçenek gibi görünmüyor.
@HenryHeikkinen Anketleri bir soru ve cevap platformuna dönüştürmek için topluluk wikisini kullanmak bir hata olduğu ortaya çıktı, artık yapılmıyor. Bkz. [Topluluk wiki'sinin geleceği] (http://blog.stackoverflow.com/2011/08/the-future-of-community-wiki/). Stack Exchange'de anketler kabul edilmiyor ve buna göre kapatma kararı aldım.
@KenB Özel beta için herhangi bir kısıtlama yoktur. [CW anketleri SO'da genç bir hataydı, şimdi düzeltildi.] (Http://blog.stackoverflow.com/2011/08/the-future-of-community-wiki/)
Belki böyle öznel bir liste [idapro] etiket wiki'sine eklenebilir.
StackExchange bilgisini denklemden çıkarırsak, böyle bir sorunun aslında "yapıcı olmadığını" iddia etmek çok zor görünüyor. En iyi ihtimalle "StackExchange metamoderasyon topluluğunun kaprislerine uymadığı için kapalı" demeliyiz.
Bu mevcut haliyle yapıcı bir soru değil ve yeniden açılması gerektiğini düşünmüyorum. Kullanıcılar bunun önemli bir tartışma olduğunu düşünüyorlarsa, bu konuyu burada tartışıldığı gibi ele almanızı öneririm http://meta.reverseengineering.stackexchange.com/questions/53/how-should-book-tutorial-questions-be-dealt-with . Tartışma metaya taşınmalı ve en iyi / gerekli eklentiler, anlaşmalara / oylamalara göre Tag Wiki'ye eklenebilir.
Eklenti yarışması HP'yi ziyaret etmeye değer. https://www.hex-rays.com/contests/2018/index.shtml
Dört yanıtlar:
jyz
2013-03-20 19:18:22 UTC
view on stackexchange narkive permalink

Güvenlik açıklarını analiz etmek için çok kullanışlı olan ikili farklı eklentiler de vardır: patchdiff2 ve zynamics bindiff. İkili programın sahip olduğu ve çok yararlı olan yamaları analiz etmenize yardımcı olabilirler, yani uygulamanın yamadan önce neden savunmasız olduğunu ve satıcının onu nasıl düzelttiğini.

IDA için bu iki eklentinin yanı sıra DarunGrim var, başka bir mükemmel ikili fark aracı.

[Bunu] denediniz mi (http://course.cs.tau.ac.il/secws12/?q=projects/reverse-engineering-integrated-database)? Fikrinizle ilgilenirim.
@IgorSkochinsky kulağa gerçekten ilginç geliyor. Ona derin bir bakacağım. Teşekkürler!
Igor Skochinsky
2013-03-20 18:51:41 UTC
view on stackexchange narkive permalink

İşte düzenli olarak kullandığım birkaç örnek:

  • Microsoft VC ++ RTTI ve EH ayrıştırıcı komut dosyaları. Eklenti olarak yeniden uygulama var (ama henüz denemedim).

  • memcpy.idc IDA'nın idc dizininden. Çok basit ama etrafındaki kodu kopyalayan yazılımlarla uğraşırken kullanışlıdır.

  • renimp.idc PE paketini açarken. Yakın zamanda UUNP'nin manuel yeniden yapılandırma özelliği ile değiştirilmesine rağmen.

  • Seçilen baytları bir dosyaya kaydetmek için küçük bir komut dosyası. Damlalıklardan gömülü ikili dosyaları çıkarmak için kullanışlıdır. 

  #include <idc.idc>static main () {auto s, e, f, name; s = SelStart (); e = SelEnd (); eğer (s == BADADDR || e == BADADDR) return; isim = form ("dump_% 08X.bin", s); f = fopen (ad, "wb"); Mesaj ("% a-% a,% s'ye kaydediliyor ...", s, e, ad); dosya dosyası (f, 0, s, e-s); Mesaj ("tamamlandı. \ N"); fclose (f);}

Ayrıca, genellikle ters çevirdiğim ikiliye özel bir şeyler yapan küçük IDC veya Python parçacıkları yazıyorum, ör. özel bir sembol tablosunu ayrıştırma veya belirli bir bayt dizisini koda dönüştürme. Bunlar genellikle çok fazla kullanılmaz.

Remko
2013-03-20 18:32:25 UTC
view on stackexchange narkive permalink

RPC'yi analiz etmek için mIDA kullanıyorum: mIDA, bir ikili dosyadan RPC arabirimlerini çıkarabilen ve ilişkili IDL tanımını yeniden oluşturabilen, IDA çözücü için bir eklentidir. mIDA ücretsizdir ve IDA'nın en son sürümü (5.2 veya üstü) ile tam olarak bütünleşir. Bu eklenti şu amaçlarla kullanılabilir: 

  * IDA'da RPC işlevlerine gitme * RPC işlevi bağımsız değişkenlerini analiz etme * RPC'yi anlama yapılar * Bir IDL tanım dosyasını yeniden oluşturun

mIDA tarafından oluşturulan IDL kodu çoğu zaman Microsoft'tan MIDL derleyicisi (midl.exe) ile yeniden derlenebilir.

mIDA, Tenable tarafından topluma ücretsiz olarak dağıtılır, umarız sizin için yararlı olur ve araştırma mühendislerinin RPC programlarında daha etkin çalışmasına yardımcı olur. Ancak Tenable, bu araç için destek sağlamaz ve kullanımı veya çıktısı ile ilgili hiçbir garanti sunmaz. Lütfen bu programı kullanmadan önce son kullanıcı lisans sözleşmesini okuyun.

Sample output of mIDA

Anton Kochkov
2013-03-20 23:16:17 UTC
view on stackexchange narkive permalink

Küçük ekipte tersine mühendislik yapmaya olanak tanıyan collabREate eklentisi eklemek istiyorum, hepsi aynı IDA oturumunu paylaşıyor.



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...