keypatch

KeyPatch는 Keystone Assembler Engine 용 Ida Pro의 수상 경력에 빛나는 플러그인입니다.

키패치는 내부의 3 가지 도구로 구성됩니다.

• Patcher & Fill Range : 이진을 직접 패치하기 위해 어셈블리를 입력 할 수 있습니다.
• 검색 :이 대화식 도구를 사용하면 이진의 어셈블리 지침을 검색 할 수 있습니다.

키패치 사용 방법에 대한이 빠른 튜토리얼과 구현 방법에 대한 슬라이드를 참조하십시오.

키패치는 IDA Pro 버전 6.4, 6.5, 6.6, 6.8, 6.9, 6.95, 7.0, 7.5에서 작동하는 것으로 확인되었지만 이전 버전에서는 완벽하게 작동해야합니다. 문제가있는 경우보고하십시오.

때때로 우리는 IDA에서 분석하는 동안 이진을 패치하고 싶지만 불행히도 Ida Pro의 내장 된 Asssembler는 적절하지 않습니다.

• 이 도구는 친절하지 않으며 반전의 수명을 더 쉽게 만들 수있는 많은 옵션이 없습니다.
• X86 어셈블러 만 사용할 수 있습니다. 다른 모든 아키텍처에 대한 지원은 완전히 누락되었습니다.
• X86 어셈블러는 좋은 모양이 아닙니다. 많은 현대 인텔 지침을 이해할 수 없습니다.

키패치는이 문제를 해결하기 위해 개발되었습니다. Keystone의 힘 덕분에 플러그인은 몇 가지 멋진 기능을 제공합니다.

• 교차 구조 : 지지대, ARM64 (AARCH64/ARMV8), 육각형, MIPS, PowerPC, SPARC, SystemZ & X86 (16/32/64 비트 포함).
• 크로스 플랫폼 : Windows, MacOS, Linux에서 IDA가 작동하는 모든 곳에서 작동합니다.
• 파이썬을 기준으로 컴파일이 필요하지 않으므로 쉽게 설치할 수 있습니다.
• 사용자 친화적 : 패치 된 코드에 주석을 자동으로 추가하고 (실행 취소) 수정을 허용합니다.
• GPL v2에 따른 오픈 소스.

키패치는 리버스 엔지니어링 툴셋에서 누락 된 부분 일 수 있습니다.

• keystone-engine.org/download에서 Python 2.7의 Keystone Core 및 Python 바인딩을 설치하십시오. 또는 부록 섹션의 단계를 따르십시오.
• KeyPatch.py ​​: pip install six 6에서 사용하기 때문에 PIP에서 6 개의 모듈을 설치하십시오.
• File keypatch.py IDA 플러그인 폴더로 복사 한 다음 IDA Pro를 다시 시작하여 KeyPatch를 사용하십시오.
  • Windows에서 폴더는 C:Program Files (x86)IDA 6.9plugins 에 있습니다.
  • MACOS에서 폴더는 /Applications/IDA Pro 6.9/idaq.app/Contents/MacOS/plugins 입니다
  • Linux에서 폴더는 /opt/IDA/plugins/

NOTE

• Windows에서 "Dynamic Library로드 실패"에 대한 IDA에서 오류 메시지가 표시되면 컴퓨터가 VC ++ 런타임 라이브러리를 놓칠 수 있습니다. https://www.microsoft.com/en-gb/download/details.aspx?id=40784에서 다운로드하고 설치하여 수정하십시오
• 다른 *닉스 플랫폼에서 위의 오류 메시지는 아직 32 비트 키스톤이 설치되어 있지 않음을 의미합니다. 이 문제를 해결하려면 더 많은 지침은 아래 부록 섹션을 참조하십시오.

• 빠른 튜토리얼은 Tutorial.md를 참조하십시오. 키패치의 모든 특징에 대한 자세한 설명은 계속 읽으십시오.

• 이진을 패치하려면 IDA 내부의 Hotkey CTRL+ALT+K 눌러 KeyPatch Patcher 대화 상자를 엽니 다.

  • 원래 어셈블리, Encode & Instruction Size는 양식의 상단 부분에 3 개의 컨트롤로 표시됩니다.
  • Assembly 상자에 구문을 선택하고 새 어셈블리 명령을 입력하십시오 (IDA 기호를 사용할 수 있음).
  • KeyPatch는 입력 중에 ENTER Keystroke를 기다리지 않고 Encode 박스의 인코딩을 자동으로 업데이트합니다.
    • IDA 기호를 입력 할 수 있으며 RAW 어셈블리가 Fixup 컨트롤에 표시됩니다.
  • ENTER 누르거나 Patch 클릭하여 새 코드로 현재 명령을 덮어 쓰인 다음 다음 명령어로 자동 전진합니다.
    • 새 코드의 크기가 원래 코드와 다를 때 키패치는 NOPS Opcode가있는 다음 명령어 경계까지 패드 할 수 있으므로 코드 흐름이 손상되지 않습니다. 원하지 않는 경우 NOPs padding until next instruction boundary 선택 취소하십시오.
    • 기본적으로 KyyPatch는 원래 코드의 정보로 수정 된 명령을 추가합니다 (패치 전). 이 기능을 비활성화하려면 선택을 선택 Save original instructions in IDA comment 하십시오.
  • 기본적으로 수정 한 수정은 IDA 데이터베이스에만 기록됩니다. 이러한 변경 사항을 원래 바이너리에 적용하려면 (따라서 덮어 쓰기) 메뉴 Edit | Patch program | Apply patches to input file .

• 명령으로 다양한 코드를 채우려면 범위를 선택한 다음 Hotkey CTRL+ALT+K 를 누르거나 메뉴 Edit | Keypatch | Fill Range .
  • Assembly 박스에서 어셈블리 코드 또는 원시 헥스 코드를 입력 할 수 있습니다. 허용 가능한 원시 헥스 코드의 일부 예는 90 , aa bb , 0xAA, 0xBB 입니다.

• 마지막 패치를 되돌리기 위해 메뉴 Edit | Keypatch | Undo last patching .

• 어셈블리 지침을 검색하려면 (바이너리를 덮어 쓰지 않고) 메뉴 Edit | Keypatch | Search 에서 키패치 검색을 열십시오 | Edit | Keypatch | Search .

  • 아키텍처, 주소, Endian Mode & Syntax를 선택한 다음 Assembly 상자에 어셈블리 지침을 입력하십시오.
  • KeyPatch는 입력 중에 ENTER Keystroke를 기다리지 않고 Encode 박스의 인코딩을 자동으로 업데이트합니다.
  • Search 버튼을 클릭하면 KeyPatch는 지침의 모든 발생을 찾고 결과를 새 형식으로 표시합니다.

• 키패치의 새 버전을 확인하려면 메뉴 Edit | Keypatch | Check for update .

• 언제든지 IDA 화면에서 마우스 오른쪽 버튼을 클릭하면 위의 모든 키패치 기능에 액세스하고 팝업 메뉴에서 선택할 수도 있습니다.

질문은 [email protected]으로 이메일을 보내십시오.

키패치의 향후 업데이트를 보려면 Twitter @keystone_engine을 참조하십시오.

우리는 IDA 7.0 이전에 Ida Pro의 Python이 32 비트 자체이므로 32 비트 라이브러리 만로드 할 수 있음을 알고 있습니다. 이러한 이유로 Keystone 32 비트를 빌드 및 설치해야합니다. 그러나 IDA 7.0은 32 비트 및 64 비트를 모두 지원하므로 올바른 버전의 Keystone도 설치해야합니다. PIPI에서 pip (32 비트)를 사용하여 다음과 같이 PIPI에서 단순히 설치하십시오.

pip install keystone-engine

완료? 이제 섹션 2로 돌아가 IDA Pro 용 KeyPatch를 설치하십시오. 즐기다!