หน้าแรก>ซอร์สโค้ด JSP>หมวดหมู่อื่นๆ
ดาวน์โหลด

Patching - การแก้ไขไบนารีแบบโต้ตอบสำหรับ IDA Pro

ปลั๊กอินแพทช์

ภาพรวม

การแก้ไขรหัสแอสเซมบลีเพื่อเปลี่ยนพฤติกรรมของโปรแกรมที่มีอยู่ไม่ใช่เรื่องแปลกในการวิเคราะห์มัลแวร์วิศวกรรมย้อนกลับซอฟต์แวร์และโดเมนที่กว้างขึ้นของการวิจัยความปลอดภัย โครงการนี้ขยาย Disassembler ของ IDA Pro ยอดนิยมเพื่อสร้างเวิร์กโฟลว์การติดตั้งไบนารีแบบโต้ตอบที่แข็งแกร่งยิ่งขึ้นซึ่งออกแบบมาสำหรับการทำซ้ำอย่างรวดเร็ว

โครงการนี้ใช้พลังงานจากส้อมผู้เยาว์ของเครื่องยนต์ Keystone ที่แพร่หลายซึ่งรองรับ X86/X64 และ ARM/ARM64 Patching พร้อมแผนการที่จะเปิดใช้งานสถาปัตยกรรม Keystone ที่เหลืออยู่ในอนาคต

ขอขอบคุณเป็นพิเศษสำหรับ HEX-rays สำหรับการสนับสนุนการพัฒนาปลั๊กอินนี้

ปล่อย

  • v0.2 - ข้อผิดพลาดที่สำคัญความเข้ากันได้ของ IDA 9
  • v0.1 - การเปิดตัวครั้งแรก

การติดตั้ง

ปลั๊กอินนี้ต้องใช้ IDA 7.6 และ Python 3 รองรับ Windows, Linux และ MacOS

โปรดทราบว่า IDA รุ่นเก่า (8.2 และต่ำกว่า) ไม่เข้ากันได้กับ Python 3.11 ขึ้นไป

ติดตั้งง่าย

เรียกใช้บรรทัดต่อไปนี้ในคอนโซล IDA เพื่อติดตั้งปลั๊กอินโดยอัตโนมัติ:

Windows / Linux 

 import urllib . request as r ; exec ( r . urlopen ( 'https://github.com/gaasedelen/patching/raw/main/install.py' ). read ())

แม็กอส 

 import urllib . request as r ; exec ( r . urlopen ( 'https://github.com/gaasedelen/patching/raw/main/install.py' , cafile = '/etc/ssl/cert.pem' ). read ())

การติดตั้งด้วยตนเอง

อีกวิธีหนึ่งคือปลั๊กอินสามารถติดตั้งด้วยตนเองได้โดยการดาวน์โหลดแพ็คเกจปลั๊กอินแบบกระจายได้สำหรับแพลตฟอร์มที่เกี่ยวข้องจากหน้ารีลีสและคลายซิปลงในโฟลเดอร์ปลั๊กอินของคุณ

ขอแนะนำ อย่างยิ่ง ให้คุณติดตั้งปลั๊กอินนี้ลงในไดเรกทอรีปลั๊กอินผู้ใช้ของ IDA: 

 import ida_diskio , os ; print ( os . path . join ( ida_diskio . get_user_idadir (), "plugins" ))

การใช้งาน

ปลั๊กอินแพทช์จะโหลดโดยอัตโนมัติสำหรับสถาปัตยกรรมที่รองรับ (x86/x64/arm/arm64) และฉีดการดำเนินการแก้ไขที่เกี่ยวข้องลงในเมนูบริบทคลิกขวาของมุมมองการถอดชิ้นส่วน IDA:

ปลั๊กอินแพทช์ขวาเมนูบริบทคลิก

รายการที่สมบูรณ์ของการดำเนินการแก้ไขบริบทมีการอธิบายไว้ในส่วนต่อไปนี้

รวมตัวกัน

กล่องโต้ตอบการแก้ไขหลักสามารถเปิดใช้งานผ่านการประกอบแอ็คชั่นในเมนูบริบทคลิกขวา มันจำลองมุมมองการถอดชิ้นส่วน IDA พื้นฐานที่สามารถใช้ในการแก้ไขคำแนะนำหนึ่งหรือหลายคำแนะนำอย่างรวดเร็ว

กล่องโต้ตอบการแก้ไขแบบโต้ตอบ

สายแอสเซมบลีเป็นฟิลด์แก้ไขได้ที่สามารถใช้ในการแก้ไขคำแนะนำแบบเรียลไทม์ การกด ENTER จะส่งคำสั่งที่ป้อนลงในฐานข้อมูล

ตำแหน่งปัจจุบันของคุณ (หรือที่เรียกว่าเคอร์เซอร์ของคุณ) จะถูกเน้นเป็นสีเขียวเสมอ คำแนะนำที่จะถูกปิดกั้นอันเป็นผลมาจากการแก้ไข / แก้ไขของคุณจะถูกเน้นเป็นสีแดงก่อนที่จะทำแพตช์

คำแนะนำเพิ่มเติมที่จะถูกปิดกั้นโดยแพทช์แสดงเป็นสีแดง

ในที่สุดปุ่มลูกศร UP และ DOWN สามารถใช้งานได้ในขณะที่ยังคงมุ่งเน้นไปที่ฟิลด์ข้อความประกอบที่แก้ไขได้เพื่อเลื่อนเคอร์เซอร์ขึ้นและลงมุมมองการถอดชิ้นส่วนโดยไม่ต้องใช้เมาส์

ทำให้หมดไป

การดำเนินการแก้ไขที่พบบ่อยที่สุดคือการออกคำแนะนำอย่างน้อยหนึ่งคำแนะนำ ด้วยเหตุนี้การกระทำของ NOP จะปรากฏในเมนูคลิกขวาเพื่อการเข้าถึงอย่างรวดเร็ว

คลิกขวาคำสั่ง NOP

คำแนะนำของแต่ละบุคคลสามารถ nop'ed รวมถึงช่วงของคำแนะนำที่เลือก

การกระโดดแบบมีเงื่อนไข

การบังคับให้กระโดดแบบมีเงื่อนไขเพื่อดำเนินการเส้นทาง 'ดี' เป็นอีกหนึ่งการกระทำการแก้ไขทั่วไป ปลั๊กอินจะแสดงการกระทำนี้เมื่อคลิกขวาที่คำแนะนำการกระโดดแบบมีเงื่อนไข

บังคับให้กระโดดแบบมีเงื่อนไข

หากคุณ ไม่ ต้องการให้มีการกระโดดแบบมีเงื่อนไขคุณสามารถทำได้แทน!

บันทึกและสมัครอย่างรวดเร็ว

แพตช์สามารถบันทึก (นำไปใช้) ไปยังการเรียกใช้งานที่เลือกผ่านเมนูย่อยแพทช์ได้ตลอดเวลา การกระทำที่รวดเร็วทำให้การบันทึกแพตช์ที่ตามมาโดยใช้การตั้งค่าเดียวกันนั้นเร็วขึ้น

ใช้แพตช์กับปฏิบัติการดั้งเดิม

ปลั๊กอินจะใช้ความพยายามอย่างแข็งขันในการเก็บข้อมูลสำรอง ( .bak ) ของการปฏิบัติการดั้งเดิมซึ่งใช้ในการ 'ทำความสะอาด' ใช้ชุดแพตช์ฐานข้อมูลปัจจุบันในระหว่างการบันทึกแต่ละครั้ง

คืนแพทช์

ในที่สุดหากคุณไม่มีความสุขกับแพตช์คุณสามารถคลิกขวาที่บล็อกคำแนะนำ (สีเหลือง) เพื่อเปลี่ยนกลับเป็นค่าดั้งเดิมของพวกเขา

คืนแพทช์

ในขณะที่มัน 'ง่าย' ที่จะย้อนกลับไบต์กลับไปเป็นค่าดั้งเดิมของพวกเขา แต่มันอาจ 'ยาก' ที่จะคืนค่าการวิเคราะห์กลับสู่สถานะก่อนหน้า การคืนค่าแพตช์อาจต้องใช้การแก้ไขของมนุษย์เพิ่มเติม เป็นครั้งคราว

ข้อบกพร่องที่รู้จัก

  • ปรับปรุงความถูกต้องของ ARM / ARM64 / นิ้วหัวแม่มือต่อไป
  • กำหนดพฤติกรรม 'ดีกว่า' สำหรับ CPP :: ชอบ :: สัญลักษณ์ (... ) / idbs (ตอนนี้ร่างมาก)
  • การเพิ่ม / อัปเดต / แก้ไข / แสดง / เตือนเกี่ยวกับรายการการย้ายถิ่นฐาน ??
  • จัดการการเปลี่ยนชื่อรีจิสเตอร์ (เช่นกับ Dwarf Annotated IDB)?
  • คำแนะนำใหม่จำนวนหนึ่ง (ประมาณ 2017 และใหม่กว่า) ไม่ได้รับการสนับสนุนโดย Keystone
  • การเข้ารหัสคำสั่งที่มีปัญหาเล็กน้อยโดย Keystone

งานในอนาคต

เวลาและแรงจูงใจที่อนุญาตการทำงานในอนาคตอาจรวมถึง:

  • เปิดใช้งานสถาปัตยกรรมหลักที่เหลือที่รองรับโดย Keystone:
    • ppc32 / ppc64 / mips32 / mips64 / sparc / systemz
  • ชุดคำสั่งหลายชุด (เช่น xor eax, eax; ret; )
  • ชุดประกอบหลายบรรทัด (เช่นฉลาก ShellCode / ASM)
  • การแก้ไขไบต์ / ข้อมูล / สตริงแบบโต้ตอบ
  • สัญลักษณ์คำใบ้ / การจับคู่อัตโนมัติ / การจับคู่แบบฟัซซี่
  • ไวยากรณ์ที่เน้นสายการประกอบที่แก้ไขได้
  • คำใบ้ที่ดีกว่าของข้อผิดพลาดปัญหาไวยากรณ์ ฯลฯ
  • Nop / Force Jump จากมุมมอง hex-rays (ฟังดูง่าย แต่อาจจะยากมาก!)
  • ปุ่มตัวเลือกสลับระหว่างโหมด 'Pretty Print' กับโหมด 'Raw' หรือไม่? หรือแสดงทั้งสอง? 
     Pretty:  mov     [rsp+48h+dwCreationDisposition], 3
   Raw:  mov     [rsp+20h], 3

ฉันยินดีต้อนรับการมีส่วนร่วมภายนอกปัญหาและคำขอคุณลักษณะ โปรดส่งคำขอดึงไปยังสาขา develop ของที่เก็บนี้หากคุณต้องการให้พวกเขาได้รับการพิจารณาสำหรับการเปิดตัวในอนาคต

ผู้เขียน

  • Markus Gaasedelen (@gaasedelen)
ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด