hrtng

HRTNG IDA插件是來自不同來源的工具，想法和實驗的集合，我發現有趣且在逆轉工作中有用。

使用HRTNG IDA插件在Seculelist上的HRTNG IDA插件解剖鰭片模塊的示例，以進行複雜惡意軟件的反面指南

菜單中沒有一個地方將插件的所有功能分組在一起。 HRTNG菜單項靠近邏輯上相關的標準IDA和十六進制射線分解器功能。消息，菜單項，彈出窗口和對話框屬於此插件，上面標有“ [hrt] ”前綴。

該插件需要在IDA安裝中存在十六進制射線透明劑。可以使用IDA SDK> = 7.3編譯該插件，但使用舊版本測試不太測試。

特別感謝以下人民的出色插件被用作我工作的基礎：

• 米蘭·博哈斯克（Milan Bohacek
• Rolf Rolles和Takahiro Haruyama的Hexraysdeob
• karthik selvaraj k rypton插件
• Ali Rahbar，Ali Pezeshk和Elias Bachaalany GraphSlick插件
• Markus Gaasedelen AVX對十六進制X64 eNepolder的支持

• 從災難到偽代碼視圖中提取評論
• 自動重命名本地和全球變量，結構成員
• 自動枚舉替代
• com助手

• 用戶互動式重命名/重新啟動幫助
• 協助結構成員或本地/全局變量的變化類型
• reinterpret_cast
• 崩潰選擇
• “ Offsetof”轉換器

• 字符串/數據/常量解密
• 構建堆棧字符串（可選的解密）
• 構建陣列字符串（可選的解密）
• 質量弦解解

• 反編譯混淆的代碼
• 掃描API名稱哈希
• 堅定不移

• 微型簽名
• DEINLINE-檢測分離的功能

• 創建虛擬結構
• 協助結構中的分裂空白

• 虛擬電話協助
• 跳到間接通話目的地
• 修復間接呼叫的堆棧指針

• 擴展的Xrefs
• 匹配支撐亮點
• 自動打開“功能”窗口內容同步

• 獲得API幫助
• AVX舉重器
• IDA數據庫中的轉儲字符串，評論和名稱
• 偏移餐桌創建
• 將功能轉換為__userCall，檢測到變質的寄存器
• 設置呼叫慣例更靠近go-lang

• 補丁自定義區域帶有nop
• 來自文件 /補丁的補丁
• 搜索和補丁
• 創建修補（DEC）文件

• Microcode Explorer

• 克隆或下載加密++®庫cmake源代碼到hrtng/src/cryptopp-cmake文件夾。

 cd src
git clone https://github.com/abdes/cryptopp-cmake

• 複製IDA_DIR/plugins/hexrays_sdk/include/hexrays.hpp文件到IDA SDK的include目錄。 （IDA 9.0不需要）
• 編輯hrtng/src/CMakeLists.txt文件，以設置使用的IDA SDK的正確路徑和版本。稍後使用另一個SDK版本構建，您可以使用cmake -D ， ccmake或cmake-gui工具更改CMAKE的IDASDK_VER變量。
• 創建構建目錄，進入它，配置和構建CMAKE項目

 mkdir bld && cd bld
cmake <path-to/hrtng/src>
cmake --build . --config Release -j 4 --clean-first

• 在第一次構建嘗試中，會有編譯錯誤看起來像：

 hrtng/src/deob.cpp:912:60: error: ‘class rangeset_t’ has no member named ‘getbag’
     fc.create("tmpfc2", ranges.getbag(), 0);//!!! add line into range.hpp, class rangeset_t: "const rangevec_t &getbag() const { return bag; }"

• 要解決該錯誤，請編輯IDA_SDK/include/range.hpp文件，將使用getbag函數實現的行添加到class rangeset_t聲明中，如以下示例：

 class rangeset_t
{
  rangevec_t bag;
  ...
  public:
  const rangevec_t &getbag() const { return bag; }
  ...
};

• 複製構建的二進製文件中的IDA_DIR/plugins文件夾togeter togeter apilist.txt and literal.txt文件，來自hrtng/bin/plugins
• 利潤

該程序根據GPL V3許可證發布

• sergey.belov在kaspersky.com上