Pitanje:
Koji su bitni IDA dodaci ili IDA Python skripte koje koristite?
Mick
2013-03-20 17:57:53 UTC
view on stackexchange narkive permalink

Pomalo sam novak s IDA Pro i otkrivam neke izvrsne dodatke dostupne iz RE zajednice, kao i njezinih dobavljača. Moj mali popis dodataka za koje sam smatrao da su mi izuzetno vrijedni su:

Doduše, ovo je vrlo kratak popis. Koje IDA Pro skripte / dodatke smatrate ključnim?

Ovo je pitanje prilično subjektivno i više sliči anketi. Međutim, vjerojatno postoji mnogo dodataka i skripti koji bi mnogima bili korisni, pa bi ovo mogao biti wiki zajednice.
Namjeravao sam ovo napraviti wiki zajednicom, ali čini se da to nije opcija.
@HenryHeikkinen Korištenje wikija zajednice za ankete cipela na platformu za pitanja i odgovore pokazalo se pogreškom, to se više ne radi. Pogledajte [Budućnost wikija zajednice] (http://blog.stackoverflow.com/2011/08/the-future-of-community-wiki/). Ankete se ne prihvaćaju na burzi stacka i glasovao sam da se u skladu s tim zatvorim.
@KenB Ne postoje ograničenja za privatnu beta verziju. [CW ankete bile su mladenačka pogreška na SO-u, sada su popravljene.] (Http://blog.stackoverflow.com/2011/08/the-future-of-community-wiki/)
Možda bi se takav subjektivni popis mogao dodati na wiki oznaku [idapro].
Ako iz jednadžbe izvadimo StackExchange, čini se vrlo teškim tvrditi da takvo pitanje zapravo "nije konstruktivno". Stoga bismo u najboljem slučaju trebali reći "zatvoreno jer nije u skladu s hirovima zajednice za metamoderaciju StackExchange."
Ovo nije konstruktivno pitanje u svom trenutnom obliku i mislim da ga ne bi trebalo otvoriti. Ako korisnici smatraju da je ovo važna rasprava, predlažem da se pozabavite time kako je ovdje raspravljeno http://meta.reverseengineering.stackexchange.com/questions/53/how-should-book-tutorial-questions-be-dealt-with . Raspravu treba premjestiti na meta, a najbolji / bitni dodaci mogu se dodati na Wiki oznaku na temelju dogovora / glasova.
Vrijedno je posjetiti dodatak HP. https://www.hex-rays.com/contests/2018/index.shtml
četiri odgovori:
#1
+10
jyz
2013-03-20 19:18:22 UTC
view on stackexchange narkive permalink

Postoje i binarni različiti dodaci koji su vrlo korisni za analizu ranjivosti: patchdiff2 i zynamics bindiff. Oni vam mogu pomoći u analiziranju zakrpa koje je binarni sustav imao i vrlo korisno analizirati, tj. Zašto je aplikacija bila ranjiva prije zakrpe i kako ju je prodavač popravio.

Pored ova dva dodatka za IDA postoji DarunGrim, još jedan izvrstan alat za binarno razlikovanje.

Jeste li probali [ovaj] (http://course.cs.tau.ac.il/secws12/?q=projects/reverse-engineering-integrated-database)? Zanimalo bi me vaše mišljenje.
@IgorSkochinsky zvuči zaista zanimljivo. Duboko ću ga pogledati. Hvala!
#2
+8
Igor Skochinsky
2013-03-20 18:51:41 UTC
view on stackexchange narkive permalink

Evo nekoliko koje redovito koristim:

  • Microsoft VC ++ RTTI i EH parser skripte. Postoji ponovna provedba kao dodatak (ali nisam probao).

  • memcpy.idc iz IDA-ovog IDC direktorija. Vrlo jednostavno, ali korisno kada se radi s firmware-ima koji okolo kopiraju kôd.

  • renimp.idc prilikom raspakiranja PE-a. Iako je nedavno zamijenjena UUNP-ovom značajkom ručne rekonstrukcije.

  • mala skripta za spremanje odabranih bajtova u datoteku. Korisno za izdvajanje ugrađenih binarnih datoteka iz kapaljki.


  #include <idc.idc>static main () {auto s, e, f, name; s = SelStart (); e = SelEnd (); if (s == BADADDR || e == BADADDR) return; ime = obrazac ("dump_% 08X.bin", s); f = fopen (ime, "wb"); Poruka ("Spremanje% a-% a u% s ...", s, e, ime); datoteka spremanja (f, 0, s, e-s); Poruka ("gotovo. \ N"); fclose (f);}  

Također, često pišem male IDC ili Python isječke koji rade nešto specifično za binarni sustav koji obrćem, npr. raščlanjivanje tablice prilagođenih simbola ili pretvaranje određenog niza bajtova u kôd. Obično se ne upotrebljavaju puno više.

#3
+6
Remko
2013-03-20 18:32:25 UTC
view on stackexchange narkive permalink

Za analizu RPC-a koristim mIDA: mIDA je dodatak za IDA rastavljač koji može izvući RPC sučelja iz binarne datoteke i ponovno stvoriti povezanu IDL definiciju. mIDA je besplatan i u potpunosti se integrira s najnovijom verzijom IDA-e (5.2 ili novija). Ovaj se dodatak može koristiti za:

  * Kretanje do RPC funkcija u IDA-i * Analiza argumenata RPC funkcije * Razumijevanje RPC-a strukture * Rekonstruirajte datoteku definicije IDL-a  

IDL kôd koji generira mIDA može se većinu vremena rekompajlirati s MIDL-ovim kompajlerom od Microsofta (midl.exe).

mIDA Tenable slobodno distribuira zajednici u nadi da će vam biti od koristi i pomoći istraživačkim inženjerima da učinkovitije rade na RPC programima. Međutim, Tenable ne pruža podršku za ovaj alat i ne nudi jamstvo u pogledu njegove upotrebe ili rezultata. Prije upotrebe ovog programa pročitajte ugovor o licenci za krajnjeg korisnika.

Sample output of mIDA

#4
+3
Anton Kochkov
2013-03-20 23:16:17 UTC
view on stackexchange narkive permalink

Želio bih dodati collabREate - dodatak koji omogućuje vršenje obrnutog inženjeringa u malom timu, svi dijele istu IDA sesiju.



Ova pitanja su automatski prevedena s engleskog jezika.Izvorni sadržaj dostupan je na stackexchange-u, što zahvaljujemo na cc by-sa 3.0 licenci pod kojom se distribuira.
Loading...