ดาวน์โหลด keypatch - ดาวน์โหลดซอร์สโค้ดคอ keypatch บ

keypatch

หมวดหมู่อื่นๆ

Version 2.1

ดาวน์โหลด

ปุ่มกด

Keypatch เป็นปลั๊กอินที่ได้รับรางวัลของ IDA Pro สำหรับเครื่องมือ Assembler Keystone

Keypatch ประกอบด้วยเครื่องมือ 3 ตัวภายใน

Patcher & Fill Range : สิ่งเหล่านี้อนุญาตให้คุณพิมพ์ในแอสเซมบลีเพื่อแก้ไขไบนารีของคุณโดยตรง
ค้นหา : เครื่องมือเชิงโต้ตอบนี้ช่วยให้คุณค้นหาคำแนะนำการประกอบในไบนารี

ดูการสอนด่วนนี้สำหรับวิธีการใช้ Keypatch และสไลด์นี้สำหรับวิธีการใช้งาน

Keypatch ได้รับการยืนยันว่าทำงานกับ IDA Pro เวอร์ชัน 6.4, 6.5, 6.6, 6.8, 6.9, 6.95, 7.0, 7.5 แต่ควรทำงานได้อย่างไร้ที่ติในรุ่นเก่า หากคุณพบปัญหาใด ๆ โปรดรายงาน

1. ทำไมต้องเป็นปุ่มกด?

บางครั้งเราต้องการแก้ไขไบนารีในขณะที่วิเคราะห์ใน IDA แต่น่าเสียดายที่การประเมินความเป็นไปได้ในตัวของ IDA Pro นั้นไม่เพียงพอ

เครื่องมือนี้ไม่เป็นมิตรและไม่มีตัวเลือกมากมายที่จะทำให้ชีวิตของการกลับรายการง่ายขึ้น
มีเพียงแอสเซมเบลอร์ x86 เท่านั้น การสนับสนุนสำหรับสถาปัตยกรรมอื่น ๆ ทั้งหมดหายไปโดยสิ้นเชิง
แอสเซมเบลอร์ x86 ไม่ได้อยู่ในสภาพดีเช่นกัน: มันไม่สามารถเข้าใจคำแนะนำของ Intel ที่ทันสมัยมากมาย

Keypatch ได้รับการพัฒนาเพื่อแก้ปัญหานี้ ด้วยพลังของ Keystone ปลั๊กอินของเรามีคุณสมบัติที่ดี

Cross-Architecture: ARM สนับสนุน, ARM64 (Aarch64/ARMV8), หกเหลี่ยม, MIPS, PowerPC, SPARC, Systemz & X86 (รวม 16/32/64 บิต)
Cross-Platform: ทำงานได้ทุกที่ที่ใช้งานได้ซึ่งอยู่ใน Windows, MacOS, Linux
ขึ้นอยู่กับ Python ดังนั้นจึงง่ายต่อการติดตั้งเนื่องจากไม่จำเป็นต้องมีการรวบรวม
ใช้งานง่าย: เพิ่มความคิดเห็นโดยอัตโนมัติลงในรหัสที่ได้รับการแก้ไขและอนุญาตให้มีการปรับเปลี่ยน (เลิกทำ)
โอเพ่นซอร์สภายใต้ GPL v2

KEYPATCH สามารถเป็นชิ้นส่วนที่ขาดหายไปในชุดเครื่องมือด้านวิศวกรรมย้อนกลับของคุณ

2. ติดตั้ง

ติดตั้ง Keystone Core & Python Binding สำหรับ Python 2.7 จาก keystone-engine.org/download หรือทำตามขั้นตอนในส่วนภาคผนวก
ติดตั้งโมดูลหกโมดูลจาก PIP เนื่องจากใช้งานโดย keypatch.py: pip install six
คัดลอกโฟลเดอร์ File keypatch.py ไปยัง IDA ปลั๊กอินจากนั้นรีสตาร์ท IDA PRO เพื่อใช้ KEYPATCH
- บน Windows โฟลเดอร์อยู่ที่ C:Program Files (x86)IDA 6.9plugins
- บน MacOS โฟลเดอร์คือ AT /Applications/IDA Pro 6.9/idaq.app/Contents/MacOS/plugins
- บน Linux โฟลเดอร์อาจเป็น AT /opt/IDA/plugins/

NOTE

บน Windows หากคุณได้รับข้อความแสดงข้อผิดพลาดจาก IDA เกี่ยวกับ "ไม่สามารถโหลดไลบรารีแบบไดนามิก" เครื่องของคุณอาจพลาดไลบรารี VC ++ แก้ไขโดยการดาวน์โหลดและติดตั้งจาก https://www.microsoft.com/en-gb/download/details.aspx?id=40784
บนแพลตฟอร์ม *NIX อื่น ๆ ข้อความแสดงข้อผิดพลาดด้านบนหมายความว่าคุณยังไม่ได้ติดตั้ง Keystone 32 บิต ดูส่วนภาคผนวกด้านล่างสำหรับคำแนะนำเพิ่มเติมเพื่อแก้ไขปัญหานี้

3. การใช้งาน

สำหรับการสอนอย่างรวดเร็วให้ดูบทช่วยสอน. MD สำหรับคำอธิบายที่สมบูรณ์ของคุณสมบัติทั้งหมดของ Keypatch ให้อ่านต่อไป
ในการแก้ไขไบนารีของคุณให้กด Hotkey CTRL+ALT+K ภายใน IDA เพื่อเปิดกล่องโต้ตอบ Patcher Keypatch
- แอสเซมบลีดั้งเดิมเข้ารหัสและขนาดคำสั่งจะแสดงใน 3 ตัวควบคุมที่ส่วนบนของแบบฟอร์ม
- เลือกไวยากรณ์พิมพ์คำสั่งแอสเซมบลีใหม่ในกล่อง Assembly (คุณสามารถใช้สัญลักษณ์ IDA)
- Keypatch จะอัปเดตการเข้ารหัส โดยอัตโนมัติ ในกล่อง Encode ในขณะที่คุณกำลังพิมพ์โดยไม่ต้องรอการกดแป้น ENTER
  - โปรดทราบว่าคุณสามารถพิมพ์สัญลักษณ์ IDA และชุดประกอบ RAW จะแสดงในตัวควบคุม Fixup
- กด ENTER หรือคลิก Patch เพื่อเขียนคำสั่งปัจจุบันด้วยรหัสใหม่จากนั้นเลื่อนไปยังคำสั่งถัดไป โดยอัตโนมัติ
  - โปรดทราบว่าเมื่อขนาดของรหัสใหม่แตกต่างจากรหัสต้นฉบับ keypatch สามารถติดได้จนกว่าขอบเขตคำสั่งถัดไปด้วย nops opcode ดังนั้นการไหลของรหัสจึงไม่บุบสลาย ยกเลิกการเลือกตัวเลือก NOPs padding until next instruction boundary หากสิ่งนี้ไม่พึงประสงค์
  - โดยค่าเริ่มต้น keypatch จะผนวกคำสั่งที่แก้ไขด้วยข้อมูลของรหัสต้นฉบับ (ก่อนที่จะถูกแก้ไข) ยกเลิกการเลือกตัวเลือก Save original instructions in IDA comment เพื่อปิดการใช้งานคุณสมบัตินี้
- โดยค่าเริ่มต้นการปรับเปลี่ยนที่คุณทำจะถูกบันทึกไว้ในฐานข้อมูล IDA เท่านั้น หากต้องการใช้การเปลี่ยนแปลงเหล่านี้กับไบนารีดั้งเดิม (เขียนทับ) เลือกเมนู Edit | Patch program | Apply patches to input file

หากต้องการเติมเต็มช่วงของรหัสด้วยคำแนะนำให้เลือกช่วงจากนั้นกด Hotkey CTRL+ALT+K หรือเลือก Menu Edit | Keypatch | Fill Range
- ในกล่อง Assembly คุณสามารถป้อนรหัสแอสเซมบลีหรือ hexcode ดิบ ตัวอย่างของ hexcode ดิบที่ยอมรับได้คือ 90 , aa bb , 0xAA, 0xBB

หากต้องการย้อนกลับ (เลิกทำ) การแก้ไขครั้งสุดท้ายให้เลือกเมนู Edit | Keypatch | Undo last patching
ในการค้นหาคำแนะนำแอสเซมบลี (โดยไม่ต้องเขียนทับไบนารี) ให้เปิด การค้นหา KEYPATCH จาก MENU Edit | Keypatch | Search .
- เลือกสถาปัตยกรรมที่อยู่โหมด Endian และไวยากรณ์จากนั้นพิมพ์คำแนะนำการประกอบในกล่อง Assembly
- Keypatch จะอัปเดตการเข้ารหัส โดยอัตโนมัติ ในกล่อง Encode ในขณะที่คุณกำลังพิมพ์โดยไม่ต้องรอการกดแป้น ENTER
- เมื่อคุณคลิกปุ่ม Search Keypatch จะค้นหาสิ่งที่เกิดขึ้นทั้งหมดของคำแนะนำและแสดงผลลัพธ์ในรูปแบบใหม่

หากต้องการตรวจสอบ Keypatch เวอร์ชันใหม่เลือกเมนู Edit | Keypatch | Check for update
เมื่อใดก็ตามที่คุณสามารถเข้าถึงฟังก์ชัน Keypatch ด้านบนทั้งหมดได้เพียงคลิกขวาในหน้าจอ IDA และเลือกจากเมนูป๊อปอัพ

4. ติดต่อ

ส่งอีเมล [email protected] สำหรับคำถามใด ๆ

สำหรับการอัปเดต keypatch ในอนาคตให้ติดตาม Twitter @KeyStone_Engine ของเราเพื่อประกาศ

ภาคผนวก ติดตั้ง Keystone สำหรับ IDA Pro

เราทุกคนรู้ว่าก่อน IDA 7.0 Python ของ IDA Pro คือ 32 บิตเองดังนั้นจึงสามารถโหลดไลบรารี 32 บิตได้เท่านั้น ด้วยเหตุนี้เราจึงต้องสร้างและติดตั้ง Keystone 32 บิต อย่างไรก็ตามเนื่องจาก IDA 7.0 รองรับทั้ง 32 บิตและ 64 บิตซึ่งหมายความว่าเราจำเป็นต้องติดตั้ง Keystone เวอร์ชันที่ถูกต้อง เพียงติดตั้งจาก PYPI ด้วย pip (32 บิต) เช่นติดตาม: