bincat

O Bincat é um kit de ferramentas de análise de código binário estático , projetado para ajudar os engenheiros reversos, diretamente da IDA ou usando o Python para automação.

Apresenta:

• Análise de valor (registros e memória)
• Análise Taint
• Reconstrução e propagação do tipo
• Análise para trás e para frente
• Detecção de uso livre e livre e sem dupla

Você pode verificar (uma versão mais antiga de) Bincat em ação aqui:

• Análise Básica
• Usando contaminação de dados

Verifique o tutorial para ver as tarefas correspondentes.

Plataformas host suportadas:

• Plugin IDA: tudo, versão 7.4 ou posterior (apenas o Python 3 é suportado)
• Analisador (local ou remoto): Linux, Windows, MacOS (talvez)

CPU suportado para análise (por enquanto):

• x86-32
• x86-64
• ARMV7
• ARMV8
• PowerPC

Apenas Ida v7.4 ou posterior é suportado

As versões mais antigas podem funcionar, mas não as apoiaremos.

A distribuição binária inclui tudo o que é necessário:

• o analisador
• o plugin IDA

Instale as etapas:

• Extraia a distribuição binária de Bincat (não o repo Git)
• Na IDA, clique em "Arquivo -> Arquivo de Script ..." Menu (ou digite ALT -F7)
• Selecione install_plugin.py
• Bincat agora está instalado no seu diretor de usuário da IDA
• Reinicie o IDA

O analisador pode ser usado localmente ou através de um serviço da Web.

No Linux:

• Usando Docker: Instruções de instalação do Docker
• Manual: Instruções de construção e instalação

No Windows:

• construir instruções

• Manual do Windows Instale.
• Instalação manual do Linux

Bincat deve trabalhar com a IDA no vinho, uma vez que o PIP estiver instalado:

• Faça o download https://bootstrap.pypa.io/get-pip.py (verifique se é bom;)
• ~/.wine/drive_c/Python/python.exe get-pip.py

• Carregue o plug -in usando o atalho Ctrl-Shift-B ou usando o Menu Edit -> Plugins -> BinCAT

• Vá para a instrução onde deseja iniciar a análise

• Selecione o painel BinCAT Configuration , clique em <-- Current para definir o endereço inicial

• Inicie a análise

As opções globais podem ser configuradas no menu Edit/BinCAT/Options .

Config e opções padrão são armazenadas em $IDAUSR/idabincat/conf .

• "Use Remote Bincat": Selecione se você está executando o Docker em um contêiner do Docker
• "URL remoto": http: // localhost: 5000 (ou o URL de um servidor Bincat remoto)
• "AutoStart": Autoload Bincat na IDA Startup
• "Salvar para o BID": Estado padrão para a caixa de seleção save to idb

Um manual é fornecido e verifique aqui uma descrição do formato do arquivo de configuração.

Um tutorial é fornecido para ajudá -lo a experimentar os recursos de Bincat.

• Sstic 2017, Rennes, França: Artigo (inglês), slides (francês), vídeo da apresentação (francês)
• Recon 2017, Montreal, Canadá: slides, vídeo

Bincat é liberado sob a licença pública geral da GNU Affero.

O código Bincat OCAML inclui código do OCAML RUNDTEME ORIGINAL, lançado no LGPLV2.

O plug-in Bincat IDA inclui código de Python-Pyqt5-Hexview por Willi Ballenthin, lançado sob a licença Apache 2.0.

Bincat inclui uma cópia modificada do Newspeak.

As compilações automatizadas para Linux e Windows são executadas automaticamente usando ações do GitHub (veja aqui), os resultados podem ser obtidos na guia Ações do Github.