bincat

Bincat ist ein statisches Binärcode -Analyse -Toolkit, mit dem Ingenieure direkt von IDA zurückgekehrt sind oder Python zur Automatisierung verwenden.

Es enthält:

• Wertanalyse (Register und Speicher)
• Makelanalyse
• Typekonstruktion und Ausbreitung
• Rückwärts- und Vorwärtsanalyse
• Nutzungsfreie und doppelfreie Erkennung

Sie können (eine ältere Version von) Bincat hier überprüfen:

• Grundlegende Analyse
• Verwenden von Datenverschmutzung

Überprüfen Sie das Tutorial, um die entsprechenden Aufgaben zu sehen.

Unterstützte Hostplattformen:

• IDA -Plugin: Alle, Version 7.4 oder höher (nur Python 3 wird unterstützt)
• Analysator (lokal oder fernerlich): Linux, Windows, MacOS (vielleicht)

Unterstützte CPU für die Analyse (vorerst):

• x86-32
• x86-64
• ARMV7
• ARMV8
• Powerpc

Nur IDA v7.4 oder höher wird unterstützt

Ältere Versionen mögen funktionieren, aber wir werden sie nicht unterstützen.

Die binäre Verteilung enthält alles, was benötigt wird:

• der Analysator
• Das IDA -Plugin

Schritte installieren:

• Extrahieren Sie die binäre Verteilung von Bincat (nicht das Git -Repo)
• Klicken Sie in IDA auf "Datei -> Skriptdatei ..." Menü (oder geben Sie Alt -F7 ein).
• Wählen Sie install_plugin.py
• Bincat ist jetzt in Ihrem IDA -Benutzer DIR installiert
• Starten Sie Ida neu

Der Analysator kann lokal oder über einen Webdienst verwendet werden.

Unter Linux:

• Verwenden von Docker: Docker -Installationsanweisungen
• Handbuch: Erstellen und Installationsanweisungen

Unter Windows:

• Anweisungen erstellen

• Windows -Handbuch installieren.
• Linux -Handbuch Installation

Bincat sollte mit IDA auf Wein arbeiten, sobald PIP installiert ist:

• Laden Sie https://bootstrap.pypa.io/get-pip.py herunter (überprüfen Sie, ob es gut ist;)
• ~/.wine/drive_c/Python/python.exe get-pip.py

• Laden Sie das Plugin mithilfe der Ctrl-Shift-B -Verknüpfung oder mithilfe des Menüs Edit -> Plugins -> BinCAT

• Gehen Sie zur Anweisung, in der Sie die Analyse starten möchten

• Wählen Sie den BinCAT Configuration aus, klicken Sie auf <-- Current um die Startadresse zu definieren

• Starten Sie die Analyse

Globale Optionen können über das Menü Edit/BinCAT/Options konfiguriert werden.

Standardkonfiguration und Optionen werden in $IDAUSR/idabincat/conf gespeichert.

• "Remote Bincat verwenden": Wählen Sie, ob Sie Docker in einem Docker -Container ausführen
• "Remote -URL": http: // localhost: 5000 (oder die URL eines Remote -Bincat -Servers)
• "Autostart": Autoload Bincat beim IDA -Startup
• "Save to IDB": Standardstatus für das Kontrollkästchen save to idb

Es wird ein Handbuch zur Verfügung gestellt und hier eine Beschreibung des Konfigurationsdateiformates überprüft.

Es wird ein Tutorial zur Verfügung gestellt, mit dem Sie die Funktionen von Bincat ausprobieren können.

• SSTIC 2017, Rennes, Frankreich: Artikel (Englisch), Folien (Französisch), Video der Präsentation (Französisch)
• Recon 2017, Montreal, Kanada: Folien, Video

Bincat wird unter der GNU Affero General Public Lizenz veröffentlicht.

Der Bincat OCAML -Code enthält Code aus der ursprünglichen OCAML -Laufzeit, die unter dem LGPLV2 veröffentlicht wurde.

Das Bincat IDA-Plugin enthält Code von Python-Pyqt5-Hexview von Willi Ballenthin, der unter der Apache-Lizenz 2.0 veröffentlicht wurde.

Bincat enthält eine modifizierte Kopie von Newspeak.

Automatische Builds für Linux und Windows werden automatisch mit GitHub -Aktionen durchgeführt (siehe hier). Die Ergebnisse können auf der Registerkarte Githubs Aktionen erzielt werden.