keypatch

Keypatch是Keystone Assembler Engine的IDA Pro的獲獎插件。

KeyPatch由內部3個工具組成。

• Patcher ＆ Fill範圍：這些允許您輸入彙編以直接修補二進製文件。
• 搜索：此交互式工具可讓您在二進制中搜索彙編指令。

請參閱此快速教程，以了解如何使用KeyPatch，以及有關其實現方式的幻燈片。

Keypatch已被確認可以在IDA Pro版本6.4、6.6、6.6、6.8、6.9、6.95、7.0、7.5上工作，但應在較舊版本上完美工作。如果發現任何問題，請報告。

有時，我們想在IDA中分析二進製文件時修補二進製文件，但不幸的是，IDA Pro的內置屁股不夠。

• 該工具不友好，沒有許多選擇，可以使反擊者的生活更加輕鬆。
• 只有x86彙編器可用。對所有其他體系結構的支持完全缺失。
• X86彙編器也不處於良好狀態：它無法理解許多現代的英特爾說明。

開發了Keypatch來解決此問題。由於Keystone的力量，我們的插件提供了一些不錯的功能。

• 跨架結構：支撐臂，ARM64（AARCH64/ARMV8），HEXAGON，MIPS，POWERPC，SPARC，SYSTEMZ和X86（包括16/32/64bit）。
• 跨平台：在Windows，MacOS，Linux上使用IDA工作的任何地方工作。
• 基於Python，因此很容易安裝，因為不需要編譯。
• 用戶友好：自動將註釋添加到修補的代碼中，並允許恢復（撤消）修改。
• GPL V2下的開源。

Keypatch可能是您的反向工程工具集中缺少的部分。

• 從Keystone-engine.org/download安裝Python 2.7的Keystone Core和Python綁定。或按照附錄部分中的步驟操作。
• 從PIP安裝六個模塊，因為keypatch.py​​： pip install six 。
• 將文件keypatch.py​​複製到IDA插件文件夾，然後重新啟動IDA Pro以使用KeyPatch。
  • 在Windows上，該文件夾位於C:Program Files (x86)IDA 6.9plugins
  • 在MacOS上，該文件夾在/Applications/IDA Pro 6.9/idaq.app/Contents/MacOS/plugins
  • 在Linux上，文件夾可以在/opt/IDA/plugins/

NOTE

• 在Windows上，如果您從IDA收到有關“無法加載動態庫”的錯誤消息，則您的計算機可能會錯過VC ++運行時庫。通過從https://www.microsoft.com/en-gb/download/details.aspx？ id=40784下載和安裝來解決該問題
• 在其他 *nix平台上，上述錯誤消息意味著您尚未安裝32位Keystone。請參閱下面的附錄部分，以獲取更多說明來解決此問題。

• 有關快速教程，請參見tutorial.md。有關Keypatch的所有功能的完整說明，請繼續閱讀。

• 要修補您的二進製文件，請按HOTKEY CTRL+ALT+K內部IDA中的“打開Keypatch Patcher”對話框。

  • 原始組件，編碼和指令大小將顯示在表格的頂部3個控件中。
  • 選擇語法，在Assembly框中鍵入新的彙編指令（您可以使用IDA符號）。
  • 鍵入時，Keypatch會在鍵入時自動更新Encode框中的編碼，而無需等待ENTER鍵盤。
    • 請注意，您可以鍵入IDA符號，並且RAW組件將顯示在Fixup控件中。
  • 按ENTER或單擊Patch以使用新代碼覆蓋當前指令，然後自動推進下一個指令。
    • 請注意，當新代碼的尺寸與原始代碼不同時，Keypatch可以墊板直到使用NOP OpCode的下一個指令邊界，因此代碼流是完整的。如果不希望，請取消選中選項的NOPs padding until next instruction boundary 。
    • 默認情況下，Keypatch用原始代碼的信息（修補之前）附加了修改後的指令。取消選中的選擇，將Save original instructions in IDA comment ，以禁用此功能。
  • 默認情況下，您進行的修改僅記錄在IDA數據庫中。要將這些更改應用於原始二進製文件（因此覆蓋它），請選擇菜單Edit | Patch program | Apply patches to input file 。

• 要使用指令填充一系列代碼，請選擇範圍，然後按HOTKEY CTRL+ALT+K ，或選擇菜單Edit | Keypatch | Fill Range 。
  • 在Assembly框中，您可以輸入彙編代碼或原始的十六進制。可接受的RAW HEXCODE的一些示例是90 ， aa bb ， 0xAA, 0xBB 。

• 要恢復（撤銷）最後一個修補程序，請選擇菜單Edit | Keypatch | Undo last patching 。

• 要搜索彙編說明（無需覆蓋二進制），請從菜單編輯中打開鍵盤搜索Edit | Keypatch | Search 。

  • 選擇體系結構，地址，ENDIAN模式和語法，然後在Assembly框中鍵入彙編指令。
  • 鍵入時，Keypatch會在鍵入時自動更新Encode框中的編碼，而無需等待ENTER鍵盤。
  • 當您單擊Search按鈕時，Keypatch會查找指令的所有發生，並以新的形式顯示結果。

• 要檢查新版本的KeyPatch，請選擇菜單Edit | Keypatch | Check for update 。

• 在任何時候，您還可以通過右鍵單擊IDA屏幕訪問上述所有鍵入功能，然後從彈出菜單中進行選擇。

有關任何問題，請發送電子郵件至[email protected]。

要將來更新Keypatch，請點擊我們的Twitter @keystone_engine宣布。

我們都知道，在IDA 7.0之前，IDA Pro的Python本身是32位，因此它只能加載32位庫。因此，我們必須構建和安裝Keystone 32位。但是，由於IDA 7.0支持32位和64位，這意味著我們還需要安裝正確的Keystone版本。只需從PIPI安裝，帶有pip （32位），例如以下內容：

pip install keystone-engine

完畢？現在返回第2節，為IDA Pro安裝Keypatch。享受！