hrtng

HRTNG IDA 플러그인은 반전 작업에서 흥미롭고 유용한 다른 소스의 도구, 아이디어 및 실험 모음입니다.

Securelist의 HRTNG IDA 플러그인을 사용하여 Finspy 모듈을 해부하는 예를 사용하여 복잡한 맬웨어의 역전에 대한 실용 가이드

메뉴에는 플러그인의 모든 기능이 함께 그룹화 된 곳이 없습니다. HRTNG 메뉴 항목은 논리적으로 관련된 표준 IDA 및 Hex-Rays 디 컴파일러 기능에 더 가깝게 배치되었습니다. 메시지, 메뉴 항목, 팝업 창 및 대화 상자는이 플러그인에 속합니다. " [hrt] "접두사가 표시됩니다.

플러그인은 IDA 설치에 육각형 디 컴파일러가 필요합니다. 플러그인은 IDA SDK> = 7.3으로 컴파일 할 수 있지만 이전 버전으로 잘 테스트 할 수는 없습니다.

훌륭한 플러그인을 위해 사람들을 팔로우 한 것에 감사드립니다. 저의 작업의 기본으로 사용되었습니다.

• Milan Bohacek, Hexrays_tools 및 Hexrays_hlight
• Rolf Rolles와 Takahiro Haruyama의 Hexraysdeob
• Karthik Selvaraj Krypton 플러그인
• Ali Rahbar, Ali Pezeshk 및 Elias Bachaalany Graphslick 플러그인
• Hex-Rays X64 디 컴파일러에 대한 Markus Gaasedelen AVX 지원

• Disasm에서 pseudocode보기로 의견을 가져 오십시오
• 로컬 및 글로벌 변수, 구조물 멤버의 자동 이름 변경
• 자동 열거 대체
• com 도우미

• 사용자 대화식 이름 바꾸기/retyping Assistance
• 구조 유형의 구조 회원 또는 로컬/글로벌 변수를 지원합니다.
• reinterpret_cast
• 붕괴 선택
• "오프셋"변환기

• 문자열/데이터/const 암호 해독
• 스택 스트링 빌드 (선택적으로 암호 해독으로)
• 배열 스트링 빌드 (선택적으로 암호 해독)
• 질량 줄 암호 해독

• 난독 화 된 코드를 디 컴파일합니다
• API 이름 해시를 스캔하십시오
• unflattening

• 마이크로 코드 서명
• De -inline- 상감 함수의 감지

• 더미 스트러크를 만듭니다
• 구조의 분할 간격을 지원합니다

• 가상 호출 지원
• 간접 통화 대상으로 이동하십시오
• 간접 호출에 대한 스택 포인터를 수정하십시오

• 확장 된 xrefs
• 매칭 브레이스 하이라이트
• 자동 회전 '함수'창 컨텐츠 동기화

• API 도움을 받으십시오
• AVX 리프터
• IDA 데이터베이스의 덤프 문자열, 주석 및 이름
• 테이블 생성을 상쇄합니다
• 함수를 __usercall로 변환하고 버릇없는 레지스터를 감지하십시오
• 통화 컨벤션을 GO-LANG에 비트에 비서 설정하십시오

• NOPS가있는 패치 커스텀 영역
• 파일의 디버거 / 패치에서 패치
• 검색 및 패치
• 패치 된 (12 월) 파일을 만듭니다

• 마이크로 코드 탐색기

• Crypto ++ ® 라이브러리 Cmake 소스 코드를 hrtng/src/cryptopp-cmake 폴더로 클론 또는 다운로드하십시오.

 cd src
git clone https://github.com/abdes/cryptopp-cmake

• IDA_DIR/plugins/hexrays_sdk/include/hexrays.hpp 파일을 IDA SDK의 include 디렉토리로 복사하십시오. (IDA 9.0에는 필요하지 않음)
• hrtng/src/CMakeLists.txt 파일을 편집하여 사용 된 IDA SDK의 올바른 경로와 버전을 설정하십시오. 다른 SDK 버전으로 나중에 빌드하려면 CMAKE의 IDASDK_VER 변수를 cmake -D , ccmake 또는 cmake-gui 도구를 사용하여 변경할 수 있습니다.
• 빌드 디렉토리 생성, 이동, CMAKE 프로젝트 구성 및 빌드

 mkdir bld && cd bld
cmake <path-to/hrtng/src>
cmake --build . --config Release -j 4 --clean-first

• 첫 번째 빌드 시도에서는 컴파일 오류가 다음과 같습니다.

 hrtng/src/deob.cpp:912:60: error: ‘class rangeset_t’ has no member named ‘getbag’
     fc.create("tmpfc2", ranges.getbag(), 0);//!!! add line into range.hpp, class rangeset_t: "const rangevec_t &getbag() const { return bag; }"

• 오류를 해결하려면 IDA_SDK/include/range.hpp 파일을 편집하고 다음 예제에서와 같이 class rangeset_t 선언에 getbag 함수 구현이있는 줄을 추가하십시오.

 class rangeset_t
{
  rangevec_t bag;
  ...
  public:
  const rangevec_t &getbag() const { return bag; }
  ...
};

• hrtng/bin/plugins 의 apilist.txt 및 literal.txt 파일이 포함 된 IDA_DIR/plugins 폴더 토지에 구축 된 바이너리를 복사하십시오.
• 이익

이 프로그램은 GPL V3 라이센스에 따라 릴리스됩니다

• Sergey.belov (kaspersky.com)