keypatch

Keypatch是Keystone Assembler Engine的IDA Pro的获奖插件。

KeyPatch由内部3个工具组成。

• Patcher ＆ Fill范围：这些允许您输入汇编以直接修补二进制文件。
• 搜索：此交互式工具可让您在二进制中搜索汇编指令。

请参阅此快速教程，以了解如何使用KeyPatch，以及有关其实现方式的幻灯片。

Keypatch已被确认可以在IDA Pro版本6.4、6.6、6.6、6.8、6.9、6.95、7.0、7.5上工作，但应在较旧版本上完美工作。如果发现任何问题，请报告。

有时，我们想在IDA中分析二进制文件时修补二进制文件，但不幸的是，IDA Pro的内置屁股不够。

• 该工具不友好，没有许多选择，可以使反击者的生活更加轻松。
• 只有x86汇编器可用。对所有其他体系结构的支持完全缺失。
• X86汇编器也不处于良好状态：它无法理解许多现代的英特尔说明。

开发了Keypatch来解决此问题。由于Keystone的力量，我们的插件提供了一些不错的功能。

• 跨架结构：支撑臂，ARM64（AARCH64/ARMV8），HEXAGON，MIPS，POWERPC，SPARC，SYSTEMZ和X86（包括16/32/64bit）。
• 跨平台：在Windows，MacOS，Linux上使用IDA工作的任何地方工作。
• 基于Python，因此很容易安装，因为不需要编译。
• 用户友好：自动将注释添加到修补的代码中，并允许恢复（撤消）修改。
• GPL V2下的开源。

Keypatch可能是您的反向工程工具集中缺少的部分。

• 从Keystone-engine.org/download安装Python 2.7的Keystone Core和Python绑定。或按照附录部分中的步骤操作。
• 从PIP安装六个模块，因为keypatch.py​​： pip install six 。
• 将文件keypatch.py​​复制到IDA插件文件夹，然后重新启动IDA Pro以使用KeyPatch。
  • 在Windows上，该文件夹位于C:Program Files (x86)IDA 6.9plugins
  • 在MacOS上，该文件夹在/Applications/IDA Pro 6.9/idaq.app/Contents/MacOS/plugins
  • 在Linux上，文件夹可以在/opt/IDA/plugins/

NOTE

• 在Windows上，如果您从IDA收到有关“无法加载动态库”的错误消息，则您的计算机可能会错过VC ++运行时库。通过从https://www.microsoft.com/en-gb/download/details.aspx？id=40784下载和安装来解决该问题
• 在其他 *nix平台上，上述错误消息意味着您尚未安装32位Keystone。请参阅下面的附录部分，以获取更多说明来解决此问题。

• 有关快速教程，请参见tutorial.md。有关Keypatch的所有功能的完整说明，请继续阅读。

• 要修补您的二进制文件，请按HOTKEY CTRL+ALT+K内部IDA中的“打开Keypatch Patcher”对话框。

  • 原始组件，编码和指令大小将显示在表格的顶部3个控件中。
  • 选择语法，在Assembly框中键入新的汇编指令（您可以使用IDA符号）。
  • 键入时，Keypatch会在键入时自动更新Encode框中的编码，而无需等待ENTER键盘。
    • 请注意，您可以键入IDA符号，并且RAW组件将显示在Fixup控件中。
  • 按ENTER或单击Patch以使用新代码覆盖当前指令，然后自动推进下一个指令。
    • 请注意，当新代码的尺寸与原始代码不同时，Keypatch可以垫板直到使用NOP OpCode的下一个指令边界，因此代码流是完整的。如果不希望，请取消选中选项的NOPs padding until next instruction boundary 。
    • 默认情况下，Keypatch用原始代码的信息（修补之前）附加了修改后的指令。取消选中的选择，将Save original instructions in IDA comment ，以禁用此功能。
  • 默认情况下，您进行的修改仅记录在IDA数据库中。要将这些更改应用于原始二进制文件（因此覆盖它），请选择菜单Edit | Patch program | Apply patches to input file 。

• 要使用指令填充一系列代码，请选择范围，然后按HOTKEY CTRL+ALT+K ，或选择菜单Edit | Keypatch | Fill Range 。
  • 在Assembly框中，您可以输入汇编代码或原始的十六进制。可接受的RAW HEXCODE的一些示例是90 ， aa bb ， 0xAA, 0xBB 。

• 要恢复（撤销）最后一个修补程序，请选择菜单Edit | Keypatch | Undo last patching 。

• 要搜索汇编说明（无需覆盖二进制），请从菜单编辑中打开键盘搜索Edit | Keypatch | Search 。

  • 选择体系结构，地址，ENDIAN模式和语法，然后在Assembly框中键入汇编指令。
  • 键入时，Keypatch会在键入时自动更新Encode框中的编码，而无需等待ENTER键盘。
  • 当您单击Search按钮时，Keypatch会查找指令的所有发生，并以新的形式显示结果。

• 要检查新版本的KeyPatch，请选择菜单Edit | Keypatch | Check for update 。

• 在任何时候，您还可以通过右键单击IDA屏幕访问上述所有键入功能，然后从弹出菜单中进行选择。

有关任何问题，请发送电子邮件至[email protected]。

要将来更新Keypatch，请点击我们的Twitter @keystone_engine宣布。

我们都知道，在IDA 7.0之前，IDA Pro的Python本身是32位，因此它只能加载32位库。因此，我们必须构建和安装Keystone 32位。但是，由于IDA 7.0支持32位和64位，这意味着我们还需要安装正确的Keystone版本。只需从PIPI安装，带有pip （32位），例如以下内容：

pip install keystone-engine

完毕？现在返回第2节，为IDA Pro安装Keypatch。享受！