keypatch

KeyPatch es el complemento galardonado de IDA Pro para el motor Keystone Ensambler.

El teclado consta de 3 herramientas en el interior.

• Rango de Patcher & Fill : estos le permiten escribir un ensamblaje para parchear directamente su binario.
• Búsqueda : esta herramienta interactiva le permite buscar instrucciones de ensamblaje en binario.

Vea este tutorial rápido sobre cómo usar el teclado y esto se desliza sobre cómo se implementa.

Se confirma que KeyPatch funciona en IDA Pro Versión 6.4, 6.5, 6.6, 6.8, 6.9, 6.95, 7.0, 7.5, pero debería funcionar sin problemas en las versiones anteriores. Si encuentra algún problema, informe.

A veces queremos parchear el binario mientras lo analizamos en IDA, pero desafortunadamente el culo incorporado de Ida Pro no es adecuado.

• Esta herramienta no es amigable y sin muchas opciones que facilitarían la vida del reversor.
• Solo el ensamblador X86 está disponible. El apoyo a todas las demás arquitecturas falta totalmente.
• El ensamblador X86 tampoco está en buena forma: no puede entender muchas instrucciones de Intel modernas.

KeyPatch fue desarrollado para resolver este problema. Gracias al poder de Keystone, nuestro complemento ofrece algunas características agradables.

• Arquitectura cruzada: ARM de soporte, ARM64 (AARCH64/ARMV8), Hexagon, MIPS, PowerPC, SPARC, Systemz y X86 (incluyen 16/32/64 bits).
• Multiplataforma: trabaja en todas partes que funciona, que está en Windows, macOS, Linux.
• Basado en Python, es fácil de instalar ya que no se necesita compilación.
• Despertado: Agregue automáticamente los comentarios al código parchado y permita la modificación de revertir (deshacer).
• Código abierto bajo GPL V2.

El teclado puede ser la pieza que falta en su conjunto de herramientas de ingeniería inversa.

• Instale Keystone Core y Python Binding para Python 2.7 de keystone-ingine.org/download. O siga los pasos en la sección del apéndice.
• Instale seis módulos desde PIP porque lo usa KeyPatch.py: pip install six .
• Copie el archivo keypatch.py ​​en la carpeta IDA Plugin, luego reinicie Ida Pro para usar KeyPatch.
  • En Windows, la carpeta está en C:Program Files (x86)IDA 6.9plugins
  • En MacOS, la carpeta es AT /Applications/IDA Pro 6.9/idaq.app/Contents/MacOS/plugins
  • En Linux, la carpeta puede ser AT /opt/IDA/plugins/

NOTE

• En Windows, si recibe un mensaje de error de IDA sobre "no puede cargar la biblioteca dinámica", entonces su máquina puede perderse la biblioteca de tiempo de ejecución VC ++. Arregle eso descargándolo e instalándolo desde https://www.microsoft.com/en-gb/download/details.aspx?id=40784
• En otras plataformas *Nix, el mensaje de error anterior significa que aún no tiene instalado Keystone de 32 bits. Consulte la sección del Apéndice a continuación para obtener más instrucciones para solucionar esto.

• Para un tutorial rápido, ver tutorial.md. Para obtener una descripción completa de todas las características del teclado, siga leyendo.

• Para parchear su binario, presione la tecla de acceso rápido CTRL+ALT+K Inside Ida para abrir el cuadro de diálogo Patcher de teclado .

  • El tamaño original de ensamblaje, codificación e instrucción se mostrará en 3 controles en la parte superior del formulario.
  • Elija la sintaxis, escriba una nueva instrucción de ensamblaje en el cuadro Assembly (puede usar símbolos IDA).
  • KeyPatch actualizaría automáticamente la codificación en el cuadro Encode mientras está escribiendo, sin esperar la tecla de tecla ENTER .
    • Tenga en cuenta que puede escribir símbolos IDA, y el ensamblaje sin procesar se mostrará en el control Fixup .
  • Presione ENTER o haga clic Patch para sobrescribir la instrucción actual con el nuevo código, luego avanzar automáticamente a la siguiente instrucción.
    • Tenga en cuenta que cuando el tamaño del nuevo código es diferente del código original, el teclado puede rellenar hasta el siguiente límite de instrucciones con el código de operación NOPS, por lo que el flujo de código está intacto. Desactivar la opción NOPs padding until next instruction boundary si esto no está deseado.
    • Por defecto, KeyPatch agrega la instrucción modificada con la información del código original (antes de ser parcheado). Desmarque la elección Save original instructions in IDA comment para deshabilitar esta función.
  • Por defecto, la modificación que realizó solo se registra en la base de datos IDA. Para aplicar estos cambios al binario original (así sobrescribirlo), elija Menú Edit | Patch program | Apply patches to input file .

• Para llenar una gama de código con una instrucción, seleccione el rango, luego presione CTRL+ALT+K , o elija Menú Edit | Keypatch | Fill Range .
  • En el cuadro Assembly , puede ingresar el código de ensamblaje o HEXCODE sin procesar. Algunos ejemplos de hexcode crudo aceptable son 90 , aa bb , 0xAA, 0xBB .

• Para revertir (deshacer) el último parche, elija Menú Edit | Keypatch | Undo last patching .

• Para buscar instrucciones de ensamblaje (sin sobrescribir binario), abra la búsqueda de teclas desde el menú Edit | Keypatch | Search .

  • Elija la arquitectura, la dirección, el modo endian y la sintaxis, luego escriba las instrucciones de ensamblaje en el cuadro Assembly .
  • KeyPatch actualizaría automáticamente la codificación en el cuadro Encode mientras está escribiendo, sin esperar la tecla de tecla ENTER .
  • Cuando hace clic en el botón Search , el teclado buscaría todas las ocurrencias de las instrucciones y mostraría el resultado en un nuevo formulario.

• Para verificar la nueva versión de KeyPatch, elija Menú Edit | Keypatch | Check for update .

• En cualquier momento, también puede acceder a todas las funcionalidades de tecla de tecla anteriores con solo hacer clic con el botón derecho en la pantalla Ida, y elegir entre el menú emergente.

Envíe un correo electrónico a [email protected] para cualquier pregunta.

Para una actualización futura de KeyPatch, siga nuestro Twitter @Keystone_Engine para su anuncio.

Todos sabemos que antes de Ida 7.0, la pitón de Ida Pro es de 32 bits, por lo que solo puede cargar bibliotecas de 32 bits. Por esta razón, tenemos que construir e instalar Keystone de 32 bits. Sin embargo, dado que IDA 7.0 admite tanto de 32 bits y 64 bits, lo que significa que también necesitamos instalar una versión correcta de Keystone. Simplemente instale desde PYPI, con pip (32 bits), como los seguidores:

pip install keystone-engine

¿Hecho? Ahora regrese a la sección 2 e instale el teclado para IDA Pro. ¡Disfrutar!