keypatch

O Keypatch é o premiado plug -in do IDA Pro para o mecanismo de assembler Keystone.

O Keypatch consiste em 3 ferramentas dentro.

• Faixa de patcher & preenchimento : eles permitem que você digite a montagem para corrigir diretamente seu binário.
• Pesquisa : Esta ferramenta interativa permite procurar instruções de montagem em binário.

Veja este tutorial rápido sobre como usar o Keypatch, e isso desliza para como ele é implementado.

O Keypatch está confirmado para trabalhar no IDA Pro versão 6.4, 6.5, 6.6, 6.8, 6.9, 6.95, 7.0, 7.5, mas deve funcionar perfeitamente em versões mais antigas. Se você encontrar algum problema, informe.

Às vezes, queremos corrigir o binário ao analisá-lo na IDA, mas infelizmente o membro do IDA Pro não é adequado.

• Essa ferramenta não é amigável e sem muitas opções que facilitariam a vida do reversor.
• Somente o Assembler X86 está disponível. O suporte para todas as outras arquiteturas está totalmente faltando.
• O assembler x86 também não está em boa forma: ele não consegue entender muitas instruções modernas da Intel.

O Keypatch foi desenvolvido para resolver esse problema. Graças ao poder da Keystone, nosso plug -in oferece alguns recursos agradáveis.

• Arquitetura cruzada: Armado de suporte, ARM64 (AARCH64/ARMV8), Hexágono, MIPS, PowerPC, SPARC, Systemz & X86 (incluem 16/32/64bit).
• Plataforma cruzada: trabalhe em todos os lugares que a IDA funciona, que está no Windows, MacOS, Linux.
• Com base no Python, é fácil de instalar, pois nenhuma compilação é necessária.
• Amigável: Adicione comentários automaticamente ao código corrigido e permita a modificação revertida (desfazer).
• Código aberto sob GPL V2.

O Keypatch pode ser a peça ausente no seu conjunto de ferramentas de engenharia reversa.

• Instale o Keystone Core & Python Binding para Python 2.7 de keystone-gengine.org/download. Ou siga as etapas na seção Apêndice.
• Instale seis módulos do PIP porque é usado pelo keypatch.py: pip install six .
• Copie a pasta do plug -in do arquivo de arquivo keypatch.py para IDA e reinicie o IDA Pro para usar o Keypatch.
  • No Windows, a pasta está em C:Program Files (x86)IDA 6.9plugins
  • No MacOS, a pasta está em /Applications/IDA Pro 6.9/idaq.app/Contents/MacOS/plugins
  • No Linux, a pasta pode estar em /opt/IDA/plugins/

NOTE

• No Windows, se você receber uma mensagem de erro da IDA sobre "Falha ao carregar a biblioteca dinâmica", sua máquina poderá perder a biblioteca VC ++ RunTime. Corrija isso baixando e instalando-o em https://www.microsoft.com/en-gb/download/details.aspx?id=40784
• Em outras plataformas *nix, a mensagem de erro acima significa que você ainda não possui Keystone de 32 bits instalado. Consulte a seção Apêndice abaixo para obter mais instruções para corrigir isso.

• Para um tutorial rápido, consulte o tutorial.md. Para uma descrição completa de todos os recursos do Keypatch, continue lendo.

• Para corrigir seu binário, pressione Hotkey CTRL+ALT+K dentro do IDA para abrir a caixa de diálogo Patcher de teclado .

  • A montagem original, o tamanho da codificação e a instrução será exibida em 3 controles na parte superior do formulário.
  • Escolha a sintaxe, digite novas instruções de montagem na caixa Assembly (você pode usar símbolos IDA).
  • O Keypatch atualizaria automaticamente a codificação na caixa Encode enquanto você estiver digitando, sem aguardar a tecla ENTER .
    • Observe que você pode digitar símbolos IDA e o conjunto bruto será exibido no controle Fixup .
  • Pressione ENTER ou clique em Patch para substituir a instrução atual com o novo código e avançar automaticamente para a próxima instrução.
    • Observe que quando o tamanho do novo código for diferente do código original, o Keypatch pode ser possível até o próximo limite de instrução com o código OPCODE, para que o fluxo de código esteja intacto. Desmarque a escolha NOPs padding until next instruction boundary se isso não for inspirado.
    • Por padrão, o Keypatch anexa a instrução modificada com as informações do código original (antes de ser corrigido). Desmarque a opção Save original instructions in IDA comment para desativar esse recurso.
  • Por padrão, a modificação que você fez é registrada apenas no banco de dados da IDA. Para aplicar essas alterações ao binário original (substituí -lo), escolha o menu Edit | Patch program | Apply patches to input file .

• Para preencher uma variedade de código com uma instrução, selecione o intervalo e pressione Hotkey CTRL+ALT+K ou escolha o menu Edit | Keypatch | Fill Range .
  • Na caixa Assembly , você pode inserir o código de montagem ou o código hexépaco cru. Alguns exemplos de HEXCODE ACEITÁVEL RAW são 90 , aa bb , 0xAA, 0xBB .

• Para reverter (desfazer) o último patching, escolha o menu Edit | Keypatch | Undo last patching .

• Para procurar instruções de montagem (sem substituir o binário), abra a pesquisa do Keypatch na Edit | Keypatch | Search .

  • Escolha a arquitetura, endereço, modo Endian e sintaxe e digite as instruções de montagem na caixa Assembly .
  • O Keypatch atualizaria automaticamente a codificação na caixa Encode enquanto você estiver digitando, sem aguardar a tecla ENTER .
  • Quando você clica no botão Search , o Keypatch procuraria todas as ocorrências das instruções e mostra o resultado em um novo formulário.

• Para verificar se há uma nova versão do Keypatch, escolha o menu Edit | Keypatch | Check for update .

• A qualquer momento, você também pode acessar todas as funcionalidades do Keypatch acima apenas clicar com o botão direito do mouse na tela IDA e escolher no menu pop-up.

Envie um email para [email protected] para qualquer dúvida.

Para uma atualização futura do Keypatch, siga nosso twitter @keystone_engine para anúncio.

Todos sabemos que antes da IDA 7.0, o Python do IDA Pro é de 32 bits, por isso pode carregar apenas bibliotecas de 32 bits. Por esse motivo, temos que criar e instalar o Keystone de 32 bits. No entanto, como a IDA 7.0 suporta 32 bits e 64 bits, o que significa que também precisamos instalar uma versão correta do Keystone. Basta instalar a Pypi, com pip (32 bits), como seguidores:

pip install keystone-engine

Feito? Agora volte à Seção 2 e instale o Keypatch para o IDA Pro. Aproveitar!