- 安裝findcrypt
- 遇到的問題
- 解決方法
- 總結
閱讀之前注意:
本文閱讀建議用時:25min
本文閱讀結構如下表:
| 項目 | 下屬項目 | 測試用例數量 |
|---|---|---|
| 安裝findcrypt | 無 | 0 |
| 遇到的問題 | 無 | 1 |
| 解決方法 | 無 | 1 |
| 總結 | 無 | 0 |
安裝findcrypt
首先命令行運行這個:pip install yara-python
然後參考這個網址:https://github.com/polymorf/findcrypt-yara
下載下來後,複製其中的.py文件和.rules文件到/Applications/IDA Pro 7.0/ida.app/Contents/MacOS/plugins這個路徑下。
效果如下圖所示:
遇到的問題
這樣,直接啓動IDA,會提示說找不到yara模塊。問題在於IDA的python的模塊搜索路徑沒有包含我們安裝yara-python的那個路徑。
解決方法
從問題來看,我們應該把安裝yara-python的那個路徑添加進IDA的python的模塊搜索路徑。但我沒能成功。
我用的另一種方法:直接把安裝路徑下的yara-python複製到IDA的python的模塊搜索路徑。
具體操作如下:
- 首先在IDA中確認其使用的Python的模塊搜索路徑,直接import sys,然後print(sys.path)即可看到類似下圖:
![在這裏插入圖片描述]()
- 然後看下當前安裝yara-python的路徑,這個很容易,在Mac終端再運行一下pip install yarn-python,他就會告訴你安裝的路徑:
![在這裏插入圖片描述]()
- 最後,把yara-python對應的文件從第2步中的路徑拷貝到第1步中的路徑即可,貌似需要拷貝兩個:
![在這裏插入圖片描述]()
大功告成,現在重新打開IDA就能在插件中看到findCrypt了,附上我的成果圖:
![在這裏插入圖片描述]()
總結
findcrypt需要yara-python的支持,IDA的模塊搜索路徑不包含直接pip install yarn-python的路徑,因此需要我們手動設置搜索路徑或者複製yara-python到IDA的模塊搜索路徑。