hrtng

HRTNG IDA Plugin هو مجموعة من الأدوات والأفكار والتجارب من مصادر مختلفة وجدتها مثيرة للاهتمام ومفيدة في عملي العكسي.

دليل عملي لعكس البرامج الضارة المعقدة باستخدام مثال تشريح وحدة Finspy بمساعدة المكون الإضافي لـ HRTNG IDA على Securelist

لا يوجد مكان واحد في القائمة حيث يتم تجميع جميع وظائف البرنامج المساعد معًا. وضعت عناصر قائمة HRTNG أقرب إلى وظائف IDA و hex-ray القياسية ذات الصلة منطقيا. يتم وضع علامة على الرسائل وعناصر القائمة والنوافذ المنبثقة ومربعات الحوار لهذا البرنامج المساعد ببادئة " [hrt] ".

يتطلب المكون الإضافي حضور Decompiler Hex-ray في تثبيت IDA الخاص بك. يمكن تجميع المكون الإضافي باستخدام IDA SDK> = 7.3 ولكن لم يتم اختباره جيدًا مع الإصدارات القديمة.

شكر خاص لاتباع الشعوب على الإضافات الرائعة التي تم استخدامها كقاعدة لعملي:

• ميلانو بوهاسيك ، hexrays_tools و hexrays_hlight
• Hexraysdeob من Rolf Rolles و Takahiro Haruyama
• كارثيك سيلفاراج كريبتون البرنامج المساعد
• علي رحبار ، علي بيزيشك وإلياس باشالاني بيزي ساند
• Markus Gaasedelen AVX دعم Hex-Ray X64 Decompiler

• اسحب التعليقات من العزلة إلى عرض الرمز الكاذب
• إعادة تسمية التلقائي المتغيرات المحلية والعالمية ، أعضاء بنية
• استبدال التعداد التلقائي
• كوم المساعد

• مساعدة إعادة تسمية/إعادة تسمية المستخدم التفاعلية
• يساعد مع تغيير نوع أعضاء الهيكل أو المتغير المحلي/العالمي
• reinterpret_cast
• اختيار الانهيار
• "إزاحة" المحول

• سلاسل/بيانات/فك تشفير
• بناء سلاسل المكدس (اختياريا مع فك التشفير)
• بناء سلاسل صفيف (اختياريا مع فك التشفير)
• سلاسل جماعية فك تشفير

• رمز فك تشفير
• فحص أسماء API
• عدم التمسك

• توقيعات رمز صغير
• إزالة الخط - الكشف عن الوظائف المضمونة

• إنشاء هياكل وهمية
• مساعدة في انقسام الفجوات في الهياكل

• المكالمات الافتراضية المساعدة
• القفز إلى وجهة المكالمات غير المباشرة
• إصلاح مؤشر المكدس للمكالمة غير المباشرة

• موسع XREFs
• مطابقة تسليط الضوء على دعامة
• تشغيل تلقائي على "وظائف" تزامن محتوى نافذة

• الحصول على مساعدة API
• رافع AVX
• تفريغ السلاسل والتعليقات والأسماء من قاعدة بيانات IDA
• إزاحة إنشاء الجدول
• تحويل الوظيفة إلى __usercall ، اكتشف السجلات المدللة
• قم بتعيين اتفاقيات الاتصال بالقرب من Go-Lang

• منطقة مخصصة التصحيح مع NOPS
• تصحيح من تصحيح / تصحيح من الملف
• البحث والتصحيح
• إنشاء ملف (ديسمبر) مصحح

• مستكشف الدسم الصغيرة

• استنساخ أو تنزيل Crypto ++ ® Library Cmake Source Code to hrtng/src/cryptopp-cmake Folder.

 cd src
git clone https://github.com/abdes/cryptopp-cmake

• نسخ IDA_DIR/plugins/hexrays_sdk/include/hexrays.hpp file to the include for the ida sdk. (ليس ضروريًا لـ IDA 9.0)
• تحرير ملف hrtng/src/CMakeLists.txt لتعيين المسار الصحيح وإصدار IDA SDK المستخدمة. للبناء لاحقًا مع إصدار آخر من SDK ، يمكنك تغيير متغير IDASDK_VER الخاص بـ CMake باستخدام أدوات cmake -D أو ccmake أو cmake-gui .
• قم بإنشاء دليل بناء ، وانتقل إليه ، وتكوين وإنشاء مشروع CMAKE

 mkdir bld && cd bld
cmake <path-to/hrtng/src>
cmake --build . --config Release -j 4 --clean-first

• في محاولة البناء الأولى ، سيكون هناك خطأ في التجميع:

 hrtng/src/deob.cpp:912:60: error: ‘class rangeset_t’ has no member named ‘getbag’
     fc.create("tmpfc2", ranges.getbag(), 0);//!!! add line into range.hpp, class rangeset_t: "const rangevec_t &getbag() const { return bag; }"

• لإصلاح الخطأ ، تحرير ملف IDA_SDK/include/range.hpp ، إضافة سطر مع تنفيذ وظيفة getbag إلى إعلان class rangeset_t كما في المثال التالي:

 class rangeset_t
{
  rangevec_t bag;
  ...
  public:
  const rangevec_t &getbag() const { return bag; }
  ...
};

• نسخ الثنائيات المدمجة في مجلد IDA_DIR/plugins togeter مع ملفات apilist.txt و literal.txt من hrtng/bin/plugins
• ربح

تم إصدار هذا البرنامج بموجب ترخيص GPL V3

• Sergey.belov في kaspersky.com