keypatch

KeyPatch est le plugin primé d'Ida Pro pour le moteur Keystone Assembler.

Keypatch se compose de 3 outils à l'intérieur.

• Patcher et plage de remplissage : ceux-ci vous permettent de saisir l'assemblage pour corriger directement votre binaire.
• Recherche : Cet outil interactif vous permet de rechercher des instructions d'assemblage en binaire.

Voir ce tutoriel rapide pour utiliser KeyPatch et cette glisse pour la façon dont il est implémenté.

Il est confirmé que KeyPatch fonctionne sur IDA Pro version 6.4, 6.5, 6.6, 6.8, 6.9, 6.95, 7.0, 7.5 mais devrait fonctionner parfaitement sur les versions plus anciennes. Si vous trouvez des problèmes, veuillez vous présenter.

Parfois, nous voulons corriger le binaire tout en l'analysant dans Ida, mais malheureusement, l'assèchement intégré d'Ida Pro n'est pas adéquat.

• Cet outil n'est pas amical et sans beaucoup d'options qui faciliteraient la vie du reverser.
• Seul l'assembleur x86 est disponible. La prise en charge de toutes les autres architectures est totalement manquante.
• L'assembleur x86 n'est pas non plus en bonne forme: il ne peut pas comprendre beaucoup d'instructions d'Intel modernes.

Keypatch a été développé pour résoudre ce problème. Grâce à la puissance de Keystone, notre plugin offre de belles fonctionnalités.

• Cross-Architecture: Support ARM, ARM64 (AARCH64 / ARMV8), Hexagon, MIPS, PowerPC, SPARC, Systemz et X86 (incluez 16/32/64bit).
• Cross-plateform: travaillez partout qu'Ida fonctionne, qui se trouve sur Windows, MacOS, Linux.
• Basé sur Python, il est donc facile à installer car aucune compilation n'est nécessaire.
• Convivial: ajouter automatiquement des commentaires au code correctif et permettre la modification de retour (d'annuler).
• Open source sous GPL V2.

Keypatch peut être la pièce manquante dans votre ensemble d'outils d'ingénierie inverse.

• Installez la liaison Keystone Core & Python pour Python 2.7 de Keystone-engine.org/download. Ou suivez les étapes de la section annexe.
• Installez six modules à partir de PIP car il est utilisé par Keypatch.py: pip install six .
• Copiez le fichier keypatch.py ​​dans le dossier du plugin IDA, puis redémarrez IDA Pro pour utiliser KeyPatch.
  • Sur Windows, le dossier est à C:Program Files (x86)IDA 6.9plugins
  • Sur macOS, le dossier est sur /Applications/IDA Pro 6.9/idaq.app/Contents/MacOS/plugins
  • Sur Linux, le dossier peut être sur /opt/IDA/plugins/

NOTE

• Sur Windows, si vous obtenez un message d'erreur d'IDA sur "Ne pas charger la bibliothèque dynamique", votre machine peut manquer la bibliothèque d'exécution VC ++. Corrigez-le en le téléchargeant et en l'installant à partir de https://www.microsoft.com/en-gb/download/details.aspx?id=40784
• Sur d'autres plates-formes * Nix, le message d'erreur ci-dessus signifie que vous n'avez pas encore installé 32 bits installé. Voir la section Annexe ci-dessous pour plus d'instructions pour résoudre ce problème.

• Pour un tutoriel rapide, voir tutoriel.md. Pour une description complète de toutes les fonctionnalités de Keypatch, continuez à lire.

• Pour corriger votre binaire, appuyez sur le hot-clé CTRL+ALT+K à l'intérieur d'Ida pour ouvrir la boîte de dialogue KeyPatch Patcher .

  • L'ensemble, l'encodage et la taille de l'instruction d'origine seront affichés en 3 commandes à la partie supérieure du formulaire.
  • Choisissez la syntaxe, tapez les nouvelles instructions d'assemblage dans la zone Assembly (vous pouvez utiliser les symboles IDA).
  • KeyPatch mettrait automatiquement à jour le codage dans la zone Encode pendant que vous tapez, sans attendre d' ENTER Keystroke.
    • Notez que vous pouvez taper les symboles IDA et que l'assemblage brut sera affiché dans le contrôle Fixup .
  • Appuyez ENTER ou cliquez sur Patch pour écraser les instructions actuelles avec le nouveau code, puis avancez automatiquement vers l'instruction suivante.
    • Notez que lorsque la taille du nouveau code est différente du code d'origine, KeyPatch peut se replier jusqu'à la limite d'instructions suivante avec OPS OPCode, de sorte que le flux de code est intact. Décochez le choix de NOPs padding until next instruction boundary si cela n'est pas désiré.
    • Par défaut, KeyPatch ajoute l'instruction modifiée avec les informations du code d'origine (avant d'être corrigé). Décochez le choix Save original instructions in IDA comment pour désactiver cette fonctionnalité.
  • Par défaut, la modification que vous avez apportée n'est enregistrée que dans la base de données IDA. Pour appliquer ces modifications au binaire d'origine (ainsi écraser), choisissez Menu Edit | Patch program | Apply patches to input file .

• Pour remplir une plage de code avec une instruction, sélectionnez la plage, puis appuyez sur HotKey CTRL+ALT+K , ou choisissez Menu Edit | Keypatch | Fill Range .
  • Dans la zone Assembly , vous pouvez soit entrer du code d'assemblage, soit un hexcode brut. Certains exemples d'hexcode brut acceptable sont 90 , aa bb , 0xAA, 0xBB .

• Pour revenir (UNO) le dernier correctif, choisissez Menu Edit | Keypatch | Undo last patching .

• Pour rechercher des instructions d'assemblage (sans écraser binaire), ouvrez la recherche de KeyPatch à partir du menu Edit | Keypatch | Search .

  • Choisissez l'architecture, l'adresse, le mode endian et la syntaxe, puis tapez les instructions d'assemblage dans la zone Assembly .
  • KeyPatch mettrait automatiquement à jour le codage dans la zone Encode pendant que vous tapez, sans attendre d' ENTER Keystroke.
  • Lorsque vous cliquez sur le bouton Search , KeyPatch recherchait toutes les occupations des instructions et afficherait le résultat dans un nouveau formulaire.

• Pour vérifier la nouvelle version de Keypatch, choisissez Menu Edit | Keypatch | Check for update .

• À tout moment, vous pouvez également accéder à toutes les fonctionnalités de keypatch ci-dessus simplement en cliquant avec le bouton droit sur l'écran IDA et choisir dans le menu contextuel.

Envoyez un e-mail à [email protected] pour toute question.

Pour une future mise à jour de Keypatch, suivez notre Twitter @Keystone_Engine pour annonce.

Nous savons tous qu'avant IDA 7.0, le Python d'Ida Pro est lui-même 32 bits, il ne peut donc charger que des bibliothèques 32 bits. Pour cette raison, nous devons créer et installer Keystone 32 bits. Cependant, puisque IDA 7.0 prend en charge à la fois 32 bits et 64 bits, ce qui signifie que nous devons également installer une version correcte de Keystone. Installez simplement à partir de PYPI, avec pip (32 bits), comme les suivi:

pip install keystone-engine

Fait? Revenez maintenant à la section 2 et installez Keypatch pour IDA Pro. Apprécier!