keypatch

Keypatch هو البرنامج المساعد الحائز على جوائز من IDA Pro لمحرك Keystone Assembler.

يتكون Keypatch من 3 أدوات في الداخل.

• Patcher & Fill Range : هذه تتيح لك كتابة التجميع لتصحيح ثنائي مباشرة.
• البحث : تتيح لك هذه الأداة التفاعلية البحث عن تعليمات التجميع في ثنائي.

شاهد هذا البرنامج التعليمي السريع لكيفية استخدام KEYPATCH ، وهذه الشرائح حول كيفية تنفيذها.

تم تأكيد KEYPATCH للعمل على IDA Pro الإصدار 6.4 ، 6.5 ، 6.6 ، 6.8 ، 6.9 ، 6.95 ، 7.0 ، 7.5 ولكن يجب أن تعمل بلا عيب على الإصدارات القديمة. إذا وجدت أي مشكلات ، يرجى الإبلاغ.

في بعض الأحيان ، نريد تصحيح الثنائي أثناء تحليله في IDA ، ولكن للأسف ، فإن asssembler المدمج من IDA Pro ليس كافيًا.

• هذه الأداة ليست ودية وبدون العديد من الخيارات التي من شأنها أن تجعل حياة الانعكاس أسهل.
• فقط X86 Assembler متاح. دعم جميع البنى الأخرى مفقودة تمامًا.
• مجمع X86 ليس في حالة جيدة ، إما: لا يمكن أن يفهم العديد من تعليمات Intel الحديثة.

تم تطوير Keypatch لحل هذه المشكلة. بفضل قوة Keystone ، يوفر البرنامج المساعد الخاص بنا بعض الميزات الرائعة.

• البنية المتقاطعة: ARM ARM ، ARM64 (AARCH64/ARMV8) ، Hexagon ، MIPS ، PowerPC ، SPARC ، Systemz & X86 (تشمل 16/32/64 بت).
• المنصات المتقاطعة: العمل في كل مكان يعمل فيه IDA ، وهو على Windows و MacOS و Linux.
• بناءً على Python ، لذلك من السهل التثبيت عدم الحاجة إلى تجميع.
• سهولة الاستخدام: إضافة تعليقات تلقائيًا إلى رمز مصحح ، والسماح بتعديل العودة (التراجع).
• المصدر المفتوح تحت GPL V2.

يمكن أن تكون Keypatch هي القطعة المفقودة في مجموعة أدوات الهندسة العكسية.

• قم بتثبيت Keystone Core و Python Binding لـ Python 2.7 من Keystone-Engine.org/download. أو اتبع الخطوات في قسم التذييل.
• قم بتثبيت ستة وحدة من PIP لأنه يتم استخدامه بواسطة keypatch.py: pip install six .
• نسخ ملف keypatch.py إلى مجلد المكون الإضافي IDA ، ثم أعد تشغيل IDA Pro لاستخدام KEYPATCH.
  • على Windows ، يكون المجلد في C:Program Files (x86)IDA 6.9plugins
  • على MacOS ، يكون المجلد AT /Applications/IDA Pro 6.9/idaq.app/Contents/MacOS/plugins
  • على Linux ، قد يكون المجلد AT /opt/IDA/plugins/

NOTE

• على Windows ، إذا تلقيت رسالة خطأ من IDA حول "فشل في تحميل المكتبة الديناميكية" ، فقد يفوتك جهازك مكتبة وقت تشغيل VC ++. إصلاح ذلك عن طريق تنزيله وتثبيته من https://www.microsoft.com/en-gb/download/details.aspx؟id=40784
• على منصات *NIX الأخرى ، تعني رسالة الخطأ أعلاه أنه ليس لديك حجر الأساس 32 بت مثبتة بعد. راجع قسم التذييل أدناه للحصول على مزيد من الإرشادات لإصلاح هذا.

• للحصول على تعليمي سريع ، انظر Tutorial.MD. للحصول على وصف كامل لجميع ميزات Keypatch ، استمر في القراءة.

• لتصحيح ثنائي ، اضغط على Hotkey CTRL+ALT+K داخل IDA لفتح حوار Keypatch Patcher .

  • سيتم عرض التجميع الأصلي ، وشرح وحجم التعليمات في 3 عناصر تحكم في الجزء العلوي من النموذج.
  • اختر بناء الجملة ، اكتب تعليمات التجميع الجديدة في مربع Assembly (يمكنك استخدام رموز IDA).
  • ستقوم KeyPatch تلقائيًا بتحديث الترميز في مربع Encode أثناء الكتابة ، دون انتظار ضغوط ENTER .
    • لاحظ أنه يمكنك كتابة رموز IDA ، وسيتم عرض التجميع الخام في عنصر تحكم Fixup .
  • اضغط على ENTER أو انقر فوق Patch للكتابة فوق التعليمات الحالية باستخدام الرمز الجديد ، ثم تقدم تلقائيًا إلى التعليمات التالية.
    • لاحظ أنه عندما يكون حجم الرمز الجديد مختلفًا عن الكود الأصلي ، يمكن لم Kypatch أن يرتدي حتى حدود التعليمات التالية برمز NOPS OPCODE ، وبالتالي يكون تدفق الكود سليمًا. قم بإلغاء تحديد خيار NOPs padding until next instruction boundary إذا كان هذا غير مرغوب فيه.
    • بشكل افتراضي ، يلحق Keypatch التعليمات المعدلة بمعلومات الكود الأصلي (قبل تصحيحها). قم بإلغاء تحديد اختيار Save original instructions in IDA comment لتعطيل هذه الميزة.
  • بشكل افتراضي ، يتم تسجيل التعديل الذي قمت به فقط في قاعدة بيانات IDA. لتطبيق هذه التغييرات على الثنائي الأصلي (وبالتالي الكتابة فوقها) ، اختر القائمة Edit | Patch program | Apply patches to input file .

• لملء مجموعة من التعليمات البرمجية بتعليمات ، حدد النطاق ، ثم يضغط على Hotkey CTRL+ALT+K ، أو اختر Menu Edit | Keypatch | Fill Range .
  • في مربع Assembly ، يمكنك إما إدخال رمز التجميع أو الرمز السداسي الخام. بعض الأمثلة على الرمز السداسي الخام المقبول هي 90 ، aa bb ، 0xAA, 0xBB .

• للعودة (التراجع) آخر ترقيع ، اختر القائمة Edit | Keypatch | Undo last patching .

• للبحث عن تعليمات التجميع (دون الكتابة الثنائية) ، افتح البحث عن KEYPATCH من القائمة Edit | Keypatch | Search .

  • اختر البنية ، العنوان ، الوضع الإنديان وبناء الجملة ، ثم اكتب تعليمات التجميع في مربع Assembly .
  • ستقوم KeyPatch تلقائيًا بتحديث الترميز في مربع Encode أثناء الكتابة ، دون انتظار ضغوط ENTER .
  • عند النقر فوق زر Search ، سيبحث KeyPatch عن جميع حالات الإرشادات ، وإظهار النتيجة في نموذج جديد.

• للتحقق من إصدار جديد من Keypatch ، اختر MENU Edit | Keypatch | Check for update .

• في أي وقت ، يمكنك أيضًا الوصول إلى جميع وظائف Keypatch أعلاه فقط بالنقر بزر الماوس الأيمن في شاشة IDA ، والاختيار من القائمة المنبثقة.

أرسل بريدًا إلكترونيًا إلى [email protected] لأي أسئلة.

للتحديث المستقبلي لـ KEYPATCH ، اتبع Twitter @keystone_engine للإعلان.

نعلم جميعًا أنه قبل IDA 7.0 ، فإن Python's Ida Pro هي 32 بت نفسها ، بحيث يمكنها فقط تحميل المكتبات 32 بت. لهذا السبب ، يتعين علينا إنشاء وتثبيت Keystone 32 بت. ومع ذلك ، نظرًا لأن IDA 7.0 يدعم كلاً من 32 بت و 64 بت ، مما يعني أننا نحتاج أيضًا إلى تثبيت إصدار صحيح من Keystone. ما عليك سوى التثبيت من PYPI ، مع pip (32 بت) ، مثل المتابعة:

pip install keystone-engine

منتهي؟ عد الآن إلى القسم 2 وقم بتثبيت KEYPATCH لـ IDA Pro. يتمتع!