前言
这里把安装要用到的插件工具等都打包好了,后面直接讲怎么安装。
链接: https://pan.baidu.com/s/1ADjpb9RDXuz-ACfHaka5fQ 密码: j8iw
一、Lazyida
这个直接放到plugins目录下即可,没有什么大问题,用于数据提取的方便~
二、keypatch
这个工具需要提前安装keystone
具体命令如下:
1 | pip install keystone-engine |
适用于mac、windows和linux~
如果不行就去官网下载msi文件直接安装,链接如下:
1 | https://www.keystone-engine.org/download/ |
装好环境,直接扔脚本到plugins目录即可。
三、findcrypto
做逆向题过程中,本插件会根据代码的特征和table值自动判断可能涉及的算法,然后得出反馈。
安装分两步,先安装一下yara-python的环境:
1 | python -m pip install yara-python==3.11.0 |
装成功了后,直接将脚本和rules放到plugins目录即可。
四、IDAGolanghelper
下载下来,然后修改文件 GO_Utils/__init__.py,将第16行self.bt_obj = Utils.get_bitness(ida_ida.inf_get_min_ea())替换为self.bt_obj = Utils.get_bitness(idc.BeginEA()),在ida7.0下正常使用,就是直接加载这个python脚本机会把符号表修复过来,然后就可分析了。目前ida7.5无法适配,但是可以7.0下先把函数名字恢复再到7.5下分析。
五、mipsrop
下载插件直接拖到ida里面即可使用,先edit那里载入,然后再mipsrop.help()可以查看使用方法。
将ida7.0 的miprop插件复制到ida7.5的plugins目录下后,本以为和ida7.0一样可以直接使用,但是在idapython命令行里输入mipsrop.help()的时候报错:
NameError: name ‘mipsrop’ is not defined
但是将环境设置回7.0再使用的时候,并没有出现以上的错误,于是
在idapython中先输入以下代码
1 | import mipsrop |
即可继续使用mipsrop插件。
六、alleycat
查找函数调用的所有引用图,安装方法就是把shims文件夹和alleycat.py脚本放到plugins目录即可。
使用如下:
先来到main函数,然后选择终点,再选择main函数作为起点即可
七、hexrays_hlight
这是个可以高亮显示我们的括号的插件,挺好用的,7.0下正常使用,python2.7环境,7.5自带有不用装也行。
八、IDA scope
这个使用方法和golang一样,直接跑脚本即可的,但是也只适用于7.0的python2环境,python3暂时用不上,可以查看二进制文件的加密算法和压缩算法。
九、IDA signsrch
这也是个在做逆向过程中可能会用到的识别加密算法和壳压缩算法的脚本,直接把文件夹里面的东西都copy到plugins目录下即可,7.0和7.5均可用
十、SMC中的patch脚本更新
这里主要涉及到smc代码块加密时会用到的idc函数发生了更新变化,因为从7.0到7.5做了调整,具体代码如下。
原来7.0版本:
1 | #!/usr/bin/env python |
现在7.5版本:
1 | #!/usr/bin/env python |
更多详细的函数api变化可以参考idc的食用指南:
1 | https://hex-rays.com/products/ida/support/ida74_idapython_no_bc695_porting_guide.shtml#top |
