hrtng

HRTNG IDA Plugin adalah kumpulan alat, ide, dan eksperimen dari berbagai sumber yang saya temukan menarik dan berguna dalam pekerjaan pembalikan saya.

Panduan Praktis untuk Kebalikan dari malware kompleks menggunakan contoh membedah modul finspy dengan bantuan plugin hrtng IDA di securelist

Tidak ada satu tempat di menu di mana semua fungsionalitas plugin yang dikelompokkan bersama. Item menu hrtng ditempatkan lebih dekat dengan fungsi decompiler standar IDA & hex-rays yang terkait secara logis. Pesan, item menu, jendela popup, dan kotak dialog milik plugin ini ditandai dengan awalan " [hrt] ".

Plugin ini membutuhkan kehadiran pengurai hex-ray di instalasi IDA Anda. Plugin dapat dikompilasi dengan IDA SDK> = 7.3 tetapi tidak diuji dengan baik dengan versi lama.

Terima kasih khusus kepada orang -orang yang mengikuti plugin hebat mereka digunakan sebagai pangkalan untuk pekerjaan saya:

• Milan Bohacek, hexrays_tools dan hexrays_hlight
• Hexraysdeob oleh rolf rolles dan takahiro haruyama
• Plugin Karthik Selvaraj Krypton
• Ali Rahbar, Ali Pezeshk dan Elias Bachaalany Graphslick Plugin
• Dukungan Markus Gaasedelen AVX untuk Hex-Rays X64 Decompiler

• Tarik komentar dari Disasm ke tampilan pseudocode
• Mengganti nama variabel lokal dan global otomatis, anggota struct
• Substitusi enum otomatis
• Com helper

• Bantuan penggantian nama/retyping interaktif pengguna
• Membantu dengan perubahan jenis anggota struktur atau variabel lokal/global
• reinterpret_cast
• Seleksi runtuh
• Konverter "Offsetof"

• Dekripsi string/data/const
• Bangun string tumpukan (opsional dengan dekripsi)
• Membangun string array (opsional dengan dekripsi)
• Dekripsi String Massal

• Dekompilasi kode yang dikaburkan
• Pindai nama API Hash
• Tidak menarik

• Tanda tangan mikrokode
• De -Inline - Deteksi fungsi inline

• Buat struct dummy
• Membantu celah terpisah dalam struktur

• Bantuan Panggilan Virtual
• Lompat ke tujuan panggilan tidak langsung
• Perbaiki penunjuk tumpukan untuk panggilan tidak langsung

• XREFS Extended
• Sorotan penjepit yang cocok
• Aktifkan Otomatis pada Sinkronisasi Konten Jendela 'Fungsi'

• Dapatkan bantuan API
• AVX Lifter
• Dump string, komentar dan nama dari database IDA
• Penciptaan meja offset
• Konversi fungsi ke __usercall, mendeteksi register manja
• Setel konvensi panggilan sedikit lebih dekat ke go-lang

• Patch Area Kustom dengan NOPS
• Tambalan dari debugger / patch dari file
• Cari & Patch
• Buat file Patched (Dec)

• Microcode Explorer

• Klon atau unduh Crypto ++ ® Library Cmake Source Code ke hrtng/src/cryptopp-cmake folder.

 cd src
git clone https://github.com/abdes/cryptopp-cmake

• Salin IDA_DIR/plugins/hexrays_sdk/include/hexrays.hpp file ke Direktori include IDA SDK. (Tidak perlu untuk IDA 9.0)
• Edit file hrtng/src/CMakeLists.txt untuk mengatur jalur yang benar dan versi bekas IDA SDK. Untuk membangun nanti dengan versi SDK lain, Anda dapat mengubah variabel cmake IDASDK_VER dengan menggunakan alat cmake -D , ccmake atau cmake-gui .
• Buat Direktori Bangun, masuk ke dalamnya, konfigurasikan dan bangun proyek cmake

 mkdir bld && cd bld
cmake <path-to/hrtng/src>
cmake --build . --config Release -j 4 --clean-first

• Pada upaya pembangunan pertama akan ada kesalahan kompilasi terlihat seperti:

 hrtng/src/deob.cpp:912:60: error: ‘class rangeset_t’ has no member named ‘getbag’
     fc.create("tmpfc2", ranges.getbag(), 0);//!!! add line into range.hpp, class rangeset_t: "const rangevec_t &getbag() const { return bag; }"

• Untuk memperbaiki kesalahan, edit file IDA_SDK/include/range.hpp , menambahkan baris dengan implementasi fungsi getbag ke dalam deklarasi class rangeset_t seperti pada contoh berikut:

 class rangeset_t
{
  rangevec_t bag;
  ...
  public:
  const rangevec_t &getbag() const { return bag; }
  ...
};

• Salin Binari Built ke IDA_DIR/plugins Folder Together dengan apilist.txt dan literal.txt file dari hrtng/bin/plugins
• Laba

Program ini dirilis di bawah lisensi GPL V3

• Sergey.Belov di Kaspersky.com