keypatch

Keypatch adalah plugin pemenang penghargaan IDA Pro untuk mesin assembler Keystone.

Keypatch terdiri dari 3 alat di dalamnya.

• Patcher & Fill Range : Ini memungkinkan Anda mengetik perakitan untuk secara langsung menambal biner Anda.
• Cari : Alat interaktif ini memungkinkan Anda mencari instruksi perakitan dalam biner.

Lihat tutorial cepat ini untuk cara menggunakan keypatch, dan ini slide untuk bagaimana diterapkan.

Keypatch dikonfirmasi untuk bekerja pada IDA Pro Versi 6.4, 6.5, 6.6, 6.8, 6.9, 6.95, 7.0, 7.5 tetapi harus bekerja dengan sempurna pada versi yang lebih lama. Jika Anda menemukan masalah, silakan laporkan.

Terkadang kami ingin menambal biner saat menganalisisnya di Ida, tetapi sayangnya asssembler bawaan Ida Pro tidak memadai.

• Alat ini tidak ramah dan tanpa banyak pilihan yang akan membuat kehidupan pembalik lebih mudah.
• Hanya X86 Assembler yang tersedia. Dukungan untuk semua arsitektur lainnya benar -benar hilang.
• Assembler x86 tidak dalam kondisi yang baik, baik: tidak dapat memahami banyak instruksi intel modern.

Keypatch dikembangkan untuk menyelesaikan masalah ini. Berkat kekuatan Keystone, plugin kami menawarkan beberapa fitur bagus.

• Cross-Architecture: Support Arm, ARM64 (AARCH64/ARMV8), Hexagon, MIPS, PowerPC, SPARC, Systemz & X86 (termasuk 16/32/64bit).
• Cross-Platform: Bekerja di mana pun IDA bekerja, yang ada di Windows, MacOS, Linux.
• Berdasarkan Python, jadi mudah dipasang karena tidak diperlukan kompilasi.
• Ramah Pengguna: Secara otomatis menambahkan komentar ke kode yang ditambal, dan memungkinkan modifikasi kembali (UNDO).
• Sumber terbuka di bawah GPL v2.

Keypatch dapat menjadi bagian yang hilang di toolset rekayasa balik Anda.

• Instal Keystone Core & Python Binding untuk Python 2.7 dari keystone-engine.org/download. Atau ikuti langkah -langkah di bagian Lampiran.
• Pasang enam modul dari PIP karena digunakan oleh keypatch.py: pip install six .
• Salin file keypatch.py ​​ke folder plugin IDA, lalu restart IDA Pro untuk menggunakan keypatch.
  • Di Windows, foldernya di C:Program Files (x86)IDA 6.9plugins
  • Pada macOS, foldernya adalah AT /Applications/IDA Pro 6.9/idaq.app/Contents/MacOS/plugins
  • Di Linux, foldernya mungkin AT /opt/IDA/plugins/

NOTE

• Di Windows, jika Anda mendapatkan pesan kesalahan dari IDA tentang "Gagal memuat pustaka dinamis", maka mesin Anda mungkin kehilangan perpustakaan runtime VC ++. Perbaiki dengan mengunduh & menginstalnya dari https://www.microsoft.com/en-gb/download/details.aspx?id=40784
• Pada platform *NIX lainnya, pesan kesalahan di atas berarti Anda belum menginstal keystone 32-bit. Lihat bagian Lampiran di bawah ini untuk instruksi lebih lanjut untuk memperbaikinya.

• Untuk tutorial singkat, lihat tutorial.md. Untuk deskripsi lengkap dari semua fitur keypatch, teruslah membaca.

• Untuk menambal biner Anda, tekan Hotkey CTRL+ALT+K di dalam Ida untuk membuka dialog Patcher Patcher .

  • Ukuran Assembly, Encode & Instruksi asli akan ditampilkan dalam 3 kontrol di bagian atas formulir.
  • Pilih sintaks, ketik instruksi perakitan baru di kotak Assembly (Anda dapat menggunakan simbol IDA).
  • Keypatch akan secara otomatis memperbarui pengkodean di kotak Encode saat Anda mengetik, tanpa menunggu ENTER .
    • Perhatikan bahwa Anda dapat mengetik simbol IDA, dan rakitan mentah akan ditampilkan di kontrol Fixup .
  • Tekan ENTER atau klik Patch untuk menimpa instruksi saat ini dengan kode baru, kemudian secara otomatis maju ke instruksi berikutnya.
    • Perhatikan bahwa ketika ukuran kode baru berbeda dari kode asli, tombol dapat pad sampai batas instruksi berikutnya dengan OPCode NOPS, sehingga aliran kode utuh. Hapus centang NOPs padding until next instruction boundary jika ini tidak diinginkan.
    • Secara default, keypatch menambahkan instruksi yang dimodifikasi dengan informasi kode asli (sebelum ditambal). Hapus centang Pilihan Save original instructions in IDA comment untuk menonaktifkan fitur ini.
  • Secara default, modifikasi yang Anda buat hanya direkam dalam database IDA. Untuk menerapkan perubahan ini pada biner asli (dengan demikian menimpanya), pilih Menu Edit | Patch program | Apply patches to input file .

• Untuk mengisi berbagai kode dengan instruksi, pilih rentang, lalu tekan Hotkey CTRL+ALT+K , atau pilih Menu Edit | Keypatch | Fill Range .
  • Di kotak Assembly , Anda dapat memasukkan kode perakitan, atau hexcode mentah. Beberapa contoh hexcode mentah yang dapat diterima adalah 90 , aa bb , 0xAA, 0xBB .

• Untuk mengembalikan (undo) Patching terakhir, pilih menu Edit | Keypatch | Undo last patching .

• Untuk mencari instruksi perakitan (tanpa biner timpa), buka pencarian keypatch dari menu Edit | Keypatch | Search .

  • Pilih arsitektur, alamat, mode endian & sintaks, lalu ketik instruksi perakitan di kotak Assembly .
  • Keypatch akan secara otomatis memperbarui pengkodean di kotak Encode saat Anda mengetik, tanpa menunggu ENTER .
  • Saat Anda mengklik tombol Search , keypatch akan mencari semua kejadian instruksi, dan menunjukkan hasilnya dalam formulir baru.

• Untuk memeriksa versi baru keypatch, pilih menu Edit | Keypatch | Check for update .

• Kapan saja, Anda juga dapat mengakses semua fungsionalitas tombol di atas hanya dengan klik kanan di layar IDA, dan memilih dari menu popup.

Email [email protected] untuk pertanyaan apa pun.

Untuk pembaruan keyPatch di masa mendatang, ikuti @keystone_engine Twitter kami untuk pengumuman.

Kita semua tahu bahwa sebelum IDA 7.0, Python Ida Pro adalah 32-bit itu sendiri, sehingga hanya dapat memuat perpustakaan 32-bit. Untuk alasan ini, kita harus membangun & menginstal Keystone 32-bit. Namun, karena IDA 7.0 mendukung baik 32-bit & 64-bit, yang berarti kita juga perlu menginstal versi Keystone yang benar. Cukup instal dari PYPI, dengan pip (32-bit), seperti pengikut:

pip install keystone-engine

Selesai? Sekarang kembali ke bagian 2 & instal keypatch untuk Ida Pro. Menikmati!