【CTF】IDA for RE 插件推荐

CTF · 2022-08-02 · 1486 人浏览

IDA for RE插件推荐

这篇可能会持续更新

起因是某开发巨佬群里说让我出个IDA插件合集,那就直接开搞,正好可以水一篇博客涨涨人气(

那不多bb直接进入正题

LazyIDA

链接:https://github.com/P4nda0s/LazyIDA

简化逆向流程

这个插件个人已经用成习惯了,属于是没有这个插件就逆不下去了(开个玩笑。功能可以直接看图,这里简单介绍一下我个人最常用几个的功能

Convert,直接把ida里面数据转换成python list或者c array,而且可以自己选择数据类型,在提取密文的时候就非常的方便。

Fill with NOPs,字面意思,直接把选中的区域全部填充为0x90(不过在其他架构上面这个没用)

Paste Data,这个功能非常牛,可以直接在动调的时候把数据粘贴在内存里面,有时候我们解rc4或是异或这种对称加密,直接把密文粘贴到input的内存里面,再断点在解密之后的地方,就可以直接拿到flag。

其他的功能可以看Github链接里面的readme,都挺好用的

image-20220802142041780

Keypatch

链接:https://github.com/keystone-engine/keypatch

修改汇编代码Patch程序

这个插件,用ida的应该没人不装吧

不过要注意一下的是,如果改完要运行程序的话,改完记得到 ida 的 Edit->Patch program->Apply patches to input file... 应用你的更改

image-20220802144654354

FindCrypt

链接:https://github.com/polymorf/findcrypt-yara

识别程序里面包含的加密类型

这个插件通过识别一些加密函数的特征来识别加密类型,例如base64的表,tea加密的delta等等。当然他有时候可能会不太准,那就只能靠自己识别加密了。重要的还是多做题。

image-20220802145310236

Finger

链接:https://github.com/aliyunav/Finger

阿里巴巴出品的函数识别

好像是用的阿里的数据库,通过一些函数特征自动识别函数,然后重命名并且把这个函数标记成绿色。有的时候可以省去很多事情

例如强网这个easyre,识别出了fork和remove函数,不然还要临时去搜索一下。可以拖进ida的时候直接点一下 Recognize all functions(大佬能一眼看出来的别骂了

image-20220802150018919

D-810

链接:https://gitlab.com/eshard/d810

匹配公式,直接简化代码计算过程

可能概况的不是很对,因为才发现这个插件,大概是直接识别代码里面的计算过程,然后转换成相同的更简单的式子,而且好像还能去掉ollvm,看上去很神奇的插件,还没有实际使用测试,不过具体的可以参考一下这个博客

image-20220802150724055

目前在用的确实也就这几个插件了,下次等发现新的插件再更新(((

RE
  1. 伍德 2023-05-27

    你好厉害!

Theme Jasmine by Kent Liao