最近在折騰新機,舊機有些東西沒有備份(。)導致很多東西要重裝一遍,順便記錄一下IDA及各插件的安裝方法。
環境是win10,IDA版本為v7.0(IDA Pro 7.0 綠色版)。
每個插件帶一個下載地址&&安裝方法,features摘自各個項目的主頁
一切的最開始:改變ida.cfg
見:修改ida配置文件 · c10udlnk/someFixedConfigs@1dd5561
參考《加密與解密(第四版)》P66-68。
LazyIDA
- 項目地址:https://github.com/L4ys/LazyIDA
- 安裝方法:直接將下載的.py文件放入IDA_Pro_v7.0_Portable\plugins文件夾中。
features
- 在反編譯窗口(Hex-Rays Window)中移除函數返回類型。
- 在反匯編窗口(Disasm Window)中將數據轉換成C++/python/...類型的不同尺寸數組。
- Disasm Window下,按w復制所在行的地址。
- Hex-Rays Window下,按w復制當前對象的地址,按c復制當前對象的名字,按v移除當前對象的返回類型。
- 掃描格式化字符串漏洞。
findcrypt-yara
- 項目地址:https://github.com/polymorf/findcrypt-yara
- 安裝方法:先用pip安裝yara-python(注意不是yara),再將.py文件和.rules放入IDA_Pro_v7.0_Portable\plugins文件夾中。
- 按
ctrl+alt+f快捷鍵顯示findcrypt窗口即為安裝成功。
注意:
- windows下安裝yara-python需在IDA_Pro_v7.0_Portable\python27目錄下打開cmd,並輸入
.\python.exe lib\site-packages\pip install yara-python==3.11.0進行安裝(安裝在外面的python2環境無效)。
https://blog.csdn.net/szxpck/article/details/107203718 里有對這個問題進行說明,主要的點有:① IDA使用的python版本是python2;② yara-python只有3.11.0版支持python2。
- 如果有報錯,嘗試:安裝Microsoft Visual C++ Compiler for Python 2.7支持庫。(在查找問題的時候看到這個,但裝完以后沒有效果,用了1以后才安裝成功,也許這個也要安裝?)
features
尋找加密方法的常數(以發現加密方法)。
keypatch
- 項目地址:https://github.com/keystone-engine/keypatch
- 安裝方法:先安裝keystone引擎,再將下載的.py文件放入IDA_Pro_v7.0_Portable\plugins文件夾中。
- 按
ctrl+alt+k快捷鍵顯示keypatch窗口即為安裝成功。
注意:
IDA pro 7.0 綠色版的說明中提到,
keypatch.py的文件也已經被放入plugins文件夾中,直接在IDA_Pro_v7.0_Portable\python27目錄下打開cmd,並輸入.\python.exe lib\site-packages\pip install keystone-engine安裝keystone后即可使用keypatch。
features
直接使用匯編代碼修改二進制文件。
hexlight
- 項目地址(看雪-修改版,原版沒找到):https://bbs.pediy.com/thread-226099.htm
- 安裝方法:直接將下載的.py文件放入IDA_Pro_v7.0_Portable\plugins文件夾中。
features
高亮代碼,增加高亮匹配括號
deREferencing(IDA版本需>=7.1,無法安裝)
- 項目地址:https://github.com/danigargu/deREferencing
- 安裝方法:直接將下載的.py文件放入IDA_Pro_v7.0_Portable\plugins文件夾中。
features
讓寄存器窗口和棧窗口的長得像一些gdb調試的窗口(增強窗口顯示)。
IDAGolangHelper
- 項目地址:https://github.com/sibears/IDAGolangHelper
- 安裝方法:直接將下載的go_entry.py文件和GO_Utils文件夾放入IDA_Pro_v7.0_Portable\plugins文件夾中。
- 打開Go編譯的二進制文件時左邊函數名為"runtime_"等有規律的的名字即為安裝成功。
features
修飾Go函數名和變量名,幫助逆向Go(
Ponce
- 項目地址:https://github.com/illera88/Ponce/releases/tag/v0.3
- 安裝方法:把對應平台的對應IDA版本文件夾中的兩個dll文件放入IDA_Pro_v7.0_Portable\plugins文件夾中。
features
angr和Triton的可視化輔助。
qira
- 官網:http://www.qira.me/
- 安裝方法:按照官網方法安裝以后(ubuntu 18.04見【從無到有】qira在Ubuntu 18.04下的安裝&使用 | c10udlnk_Log),在
qira-1.3\ida\bin下找到qira_ida66_windows.p64和qira_ida66_windows.plw文件,並放入IDA_Pro_v7.0_Portable\plugins文件夾中。
features
見官網,總之是一個能跟IDA搭配的可回溯調試器。
沒有了,有再補充吧0v0。