ホーム>JSPソースコード>その他のカテゴリー
ダウンロード

hrtng idaプラグイン

HRTNG IDAプラグインは、さまざまなソースからのツール、アイデア、実験のコレクションであり、私の逆の仕事で興味深く有用だと感じました。

secureListのHRTNG IDAプラグインの助けを借りてFinspyモジュールを分析する例を使用して、複雑なマルウェアの逆の実用的なガイド

メニューには、プラグインのすべての機能がグループ化されている場所はありません。 HRTNGメニュー項目は、論理的に関連する標準のIDAおよびHEX-RAYS分解機能の近くに配置されています。メッセージ、メニュー項目、ポップアップウィンドウ、ダイアログボックスは、このプラグインに属しています。「 [hrt] 」プレフィックスが付いています。

プラグインには、IDAのインストールで16進レイの分解者の存在が必要です。プラグインはIDA SDK> = 7.3でコンパイルできますが、古いバージョンでは十分にテストされていません。

私の仕事のベースとして、彼らの素晴らしいプラグインをフォローしてくれたことに特に感謝します。

  • Milan Bohacek、hexrays_tools、hexrays_hlight
  • Rolf RollesとHaruyamaのHexraysdeob
  • Karthik Selvaraj Kryptonプラグイン
  • Ali Rahbar、Ali Pezeshk、Elias Bachaalany Graphslickプラグイン
  • Markus Gaasedelen AVXは、Hex-rays x64 decompilerをサポートしています

プラグインの機能:

オートメーション

  • disasmからpseudocodeビューにコメントを引き上げます
  • ローカルおよびグローバル変数、structメンバーの自動改名
  • 自動列挙置換
  • comヘルパー

インタラクティブな擬似コード変換

  • ユーザーインタラクティブな名前変更/リテイプ支援
  • 構造の種類の変化を支援するメンバーまたはローカル/グローバル変数
  • reintrepret_cast
  • 崩壊選択
  • 「オフセットオフ」コンバーター

復号化

  • 文字列/データ/const decryption
  • スタック文字列を構築する(オプションで復号化)
  • アレイ文字列をビルド(オプションで復号化)
  • マスストリングの復号化

難読化されたコードを処理します

  • 難読化コードを逆コンパイルします
  • API名のハッシュをスキャンします
  • ぼろぼろ

コード認識

  • マイクロコード署名
  • デインライン - インラインされた関数の検出

構造支援

  • ダミー構造体を作成します
  • 構造の分割ギャップを支援します

仮想/間接的な呼び出し支援

  • 仮想通話支援
  • 間接コールの宛先にジャンプします
  • 間接コールのスタックポインターを修正します

IDA UIの改善

  • 拡張Xrefs
  • 一致するブレースのハイライト
  • Autoは「機能」ウィンドウコンテンツの同期をオンにします

Misk機能

  • APIヘルプを取得します
  • AVXリフター
  • IDAデータベースから文字列、コメント、名前をダンプします
  • テーブルの作成をオフセットします
  • 関数を__usercallに変換し、腐敗したレジスタを検出します
  • Calling ConventionsをGo-Langに少し近づけます

パッチング

  • ノップ付きのパッチカスタムエリア
  • ファイルからのデバッガー /パッチからのパッチ
  • 検索&パッチ
  • パッチ(dec)ファイルを作成します

IDAプラグイン開発者のヘルプ

  • マイクロコードエクスプローラー

建物

  • Crypto++®ライブラリCmakeソースコードをhrtng/src/cryptopp-cmakeフォルダーにクローンまたはダウンロードします。 
 cd src
git clone https://github.com/abdes/cryptopp-cmake
  • IDA_DIR/plugins/hexrays_sdk/include/hexrays.hppファイルをIDA SDKのincludeにコピーします。 (IDA 9.0には必要ありません)
  • hrtng/src/CMakeLists.txtファイルを編集して、使用済みのIDA SDKの正しいパスとバージョンを設定します。後で別のSDKバージョンで構築するには、 cmake -Dccmake 、またはcmake-guiツールを使用してCmakeのIDASDK_VER変数を変更できます。
  • ビルドディレクトリを作成し、ITに移動し、Cmakeプロジェクトを構成してビルドする
 mkdir bld && cd bld
cmake <path-to/hrtng/src>
cmake --build . --config Release -j 4 --clean-first
  • 最初のビルドの試行では、エラーがコンパイルされます。 
 hrtng/src/deob.cpp:912:60: error: ‘class rangeset_t’ has no member named ‘getbag’
     fc.create("tmpfc2", ranges.getbag(), 0);//!!! add line into range.hpp, class rangeset_t: "const rangevec_t &getbag() const { return bag; }"
  • エラーを修正するには、 IDA_SDK/include/range.hppファイルを編集し、次の例のようにgetbag関数の実装をclass rangeset_t宣言に追加します。 
 class rangeset_t
{
  rangevec_t bag;
  ...
  public:
  const rangevec_t &getbag() const { return bag; }
  ...
};
  • hrtng/bin/pluginsからのapilist.txtliteral.txtファイルを備えたIDA_DIR/pluginsフォルダーへのバイナリをコピーします。
  • 利益

ライセンス

このプログラムは、GPL V3ライセンスの下でリリースされます

著者

  • kaspersky.comのsergey.belov
拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて