【CTF】IDA for RE 插件推荐
浏览 60 | 评论 0 | 字数 1873
Xunflash
2022年08月02日
  • IDA for RE插件推荐

    这篇可能会持续更新

    起因是某开发巨佬群里说让我出个IDA插件合集,那就直接开搞,正好可以水一篇博客涨涨人气(

    那不多bb直接进入正题

    LazyIDA

    链接:https://github.com/P4nda0s/LazyIDA

    简化逆向流程

    这个插件个人已经用成习惯了,属于是没有这个插件就逆不下去了(开个玩笑。功能可以直接看图,这里简单介绍一下我个人最常用几个的功能

    Convert,直接把ida里面数据转换成python list或者c array,而且可以自己选择数据类型,在提取密文的时候就非常的方便。

    Fill with NOPs,字面意思,直接把选中的区域全部填充为0x90(不过在其他架构上面这个没用)

    Paste Data,这个功能非常牛,可以直接在动调的时候把数据粘贴在内存里面,有时候我们解rc4或是异或这种对称加密,直接把密文粘贴到input的内存里面,再断点在解密之后的地方,就可以直接拿到flag。

    其他的功能可以看Github链接里面的readme,都挺好用的

    image-20220802142041780

    Keypatch

    链接:https://github.com/keystone-engine/keypatch

    修改汇编代码Patch程序

    这个插件,用ida的应该没人不装吧

    不过要注意一下的是,如果改完要运行程序的话,改完记得到 ida 的 Edit->Patch program->Apply patches to input file... 应用你的更改

    image-20220802144654354

    FindCrypt

    链接:https://github.com/polymorf/findcrypt-yara

    识别程序里面包含的加密类型

    这个插件通过识别一些加密函数的特征来识别加密类型,例如base64的表,tea加密的delta等等。当然他有时候可能会不太准,那就只能靠自己识别加密了。重要的还是多做题。

    image-20220802145310236

    Finger

    链接:https://github.com/aliyunav/Finger

    阿里巴巴出品的函数识别

    好像是用的阿里的数据库,通过一些函数特征自动识别函数,然后重命名并且把这个函数标记成绿色。有的时候可以省去很多事情

    例如强网这个easyre,识别出了fork和remove函数,不然还要临时去搜索一下。可以拖进ida的时候直接点一下 Recognize all functions(大佬能一眼看出来的别骂了

    image-20220802150018919

    D-810

    链接:https://gitlab.com/eshard/d810

    匹配公式,直接简化代码计算过程

    可能概况的不是很对,因为才发现这个插件,大概是直接识别代码里面的计算过程,然后转换成相同的更简单的式子,而且好像还能去掉ollvm,看上去很神奇的插件,还没有实际使用测试,不过具体的可以参考一下这个博客

    image-20220802150724055

    目前在用的确实也就这几个插件了,下次等发现新的插件再更新(((

    本文作者:Xunflash
    本文链接:https://xunflash.top/index.php/archives/IDA_Plugins.html
    最后修改时间:2022-08-02 15:23:39
    本站未注明转载的文章均为原创,并采用 CC BY-NC-SA 4.0 授权协议,转载请注明来源,谢谢!
    评论
    114514
    textsms
    支持 Markdown 语法
    email
    link
    评论列表
    暂无评论