keypatch

Клавиатура - это отмеченный наградами плагин IDA Pro для двигателя Keystone Assembler.

Клавиатура состоит из 3 инструментов внутри.

• Плачер и диапазон заполнения : они позволяют вводить сборку, чтобы напрямую исправлять ваш двоичный файл.
• Поиск : этот интерактивный инструмент позволяет найти инструкции по сборке в двоичном файле.

Посмотрите на это быстрое руководство для использования клавиатуры, и это слайды для того, как он реализован.

Утверждается, что клавиатура работает над версией IDA Pro 6.4, 6.5, 6.6, 6.8, 6,9, 6,95, 7,0, 7,5, но должна работать безупречно на старых версиях. Если вы найдете какие -либо проблемы, сообщите.

Иногда мы хотим исправить двоичный файл во время анализа его в IDA, но, к сожалению, встроенный Asssembler of Mida Pro не является адекватным.

• Этот инструмент не дружелюбен и без множества вариантов, которые облегчат жизнь реверса.
• Доступен только ассемблер x86. Поддержка всех других архитектур полностью отсутствует.
• Ассемблер X86 также не в хорошей форме: он не может понять много современных инструкций Intel.

Клавиатура была разработана для решения этой проблемы. Благодаря мощности Keystone, наш плагин предлагает несколько хороших функций.

• Поперечная архитектура: поддержка ARM, ARM64 (AARCH64/ARMV8), Hexagon, MIPS, PowerPC, SPARC, Systemz & X86 (включают 16/32/64 бит).
• Кроссплатформенное: работа везде, где работает IDA, которая находится в Windows, MacOS, Linux.
• Основываясь на Python, поэтому его легко установить, поскольку компиляция не требуется.
• Удобный для пользователя: автоматически добавлять комментарии к исправленному коду и разрешить изменение (отмену) модификации.
• Открытый исходный код под GPL V2.

Клавиатура может быть недостающей частью в вашем наборе инструментов обратной инженерии.

• Установите привязку Keystone Core & Python для Python 2.7 из Keystone-engine.org/download. Или выполните шаги в разделе Приложения.
• Установите шесть модуля из PIP, потому что он используется keyPatch.py: pip install six .
• Скопируйте файл keypatch.py ​​в папку плагина IDA, затем перезапустите IDA Pro, чтобы использовать клавиатуру.
  • В Windows папка находится по адресу C:Program Files (x86)IDA 6.9plugins
  • На MacOS папка находится AT /Applications/IDA Pro 6.9/idaq.app/Contents/MacOS/plugins
  • На Linux папка может быть at /opt/IDA/plugins/

NOTE

• В Windows, если вы получите сообщение об ошибке от IDA о том, что «не загружать динамическую библиотеку», то ваша машина может пропустить библиотеку выполнения VC ++. Исправьте это путем загрузки и установки с https://www.microsoft.com/en-gb/download/details.aspx?id=40784
• На других платформах NIX приведенное выше сообщение об ошибке означает, что у вас еще нет 32-битного Keystone. См. Раздел «Приложение ниже» ниже для получения дополнительных инструкций, чтобы исправить это.

• Для быстрого обучения, см. Turning.md. Для полного описания всех функций клавиатуры продолжайте читать.

• Чтобы исправить свой двоичный файл, нажмите Hotkey CTRL+ALT+K Inside Ida, чтобы открыть диалоговое окно Patcher Patcher .

  • Исходная сборка, кодирование и размер инструкции будут отображаться в 3 элементах управления в верхней части формы.
  • Выберите синтаксис, введите новую инструкцию сборки в поле Assembly (вы можете использовать символы IDA).
  • Клавиатура автоматически обновляет кодирование в поле Encode во время печати, не ожидая ввода ENTER .
    • Обратите внимание, что вы можете ввести символы IDA, и в управлении Fixup будет отображаться необработанная сборка.
  • Нажмите ENTER или нажмите Patch , чтобы перезаписать текущую инструкцию с новым кодом, а затем автоматически перейти к следующей инструкции.
    • Обратите внимание, что когда размер нового кода отличается от исходного кода, клавиатура может накладка до следующей границы инструкции с OpCode NOPS, поэтому поток кода не поврежден. Снимите, как выбор NOPs padding until next instruction boundary если это нежелательно.
    • По умолчанию клавиатура добавляет измененную инструкцию с информацией исходного кода (перед исправлением). Снимите выбор выбора Save original instructions in IDA comment , чтобы отключить эту функцию.
  • По умолчанию внесенная вами модификация записывается только в базе данных IDA. Чтобы применить эти изменения к первоначальному двоичному изготовлению (таким образом, перезаписывайте его), выберите меню Edit | Patch program | Apply patches to input file .

• Чтобы заполнить диапазон кода с помощью инструкции, выберите диапазон, а затем нажмите Hotkey CTRL+ALT+K , либо выберите меню Edit | Keypatch | Fill Range .
  • В поле Assembly вы можете либо ввести код сборки, либо необработанный шестигранный код. Некоторые примеры приемлемого необработанного шестигранного кода - 90 , aa bb , 0xAA, 0xBB .

• Чтобы вернуть (отменить) последнее исправление, выберите меню Edit | Keypatch | Undo last patching .

• Чтобы найти инструкции по сборке (без перезабота двоичного файла), откройте поиск клавиатуры из меню Edit | Keypatch | Search .

  • Выберите архитектуру, адрес, эндианский режим и синтаксис, затем введите инструкции сборки в поле Assembly .
  • Клавиатура автоматически обновляет кодирование в поле Encode во время печати, не ожидая ввода ENTER .
  • Когда вы нажимаете кнопку Search , клавиатура будет искать все события инструкций и покажет результат в новой форме.

• Чтобы проверить новую версию клавиатуры, выберите Edit | Keypatch | Check for update .

• В любое время вы также можете получить доступ ко всем вышеперечисленным функциональным возможностям клавиатуры, просто щелкнув правой кнопкой мыши на экране IDA и выбрать из всплывающего меню.

По электронной почте [email protected] для любых вопросов.

Для будущего обновления клавиш, следите за нашим Twitter @keystone_engine для объявления.

Мы все знаем, что до IDA 7.0 Python IDA Pro сам по себе 32-битный, поэтому он может загружать только 32-разрядные библиотеки. По этой причине мы должны создать и установить 32-битный Keystone. Однако, поскольку IDA 7.0 поддерживает как 32-битный, так и 64-битный, что означает, что нам также необходимо установить правильную версию Keystone. Просто установите из PYPI, с pip (32-битным), например, последователи:

pip install keystone-engine

Сделанный? Теперь вернитесь к разделу 2 и установите клавиатуру для IDA Pro. Наслаждаться!