Windows7 64bit安裝IDA pro 7.0插件整理
對於常用的逆向工具ida,很多時候使用插件能加速分析的速度,例如一些算法的標識,兩個樣本存在的關聯性,yara的使用等,這個筆記是整理一些在日常分析中使用的插件安裝過程和使用的方法,雖然比較簡單,入門基本夠用了。
FindCrypt3
標識一些常用算法的插件,地址(https://github.com/polymorf/findcrypt-yara)
安裝
安裝python2.7.11
安裝idasdk7.0到ida安裝目錄
將sdk複製到安裝的根目錄即可,如果不安裝sdk插件不可用,這點需要注意
複製插件文件findcrpt3.py和findcrypt.rule
將腳本文件複製到ida\plugins下
安裝yara-python1.7
根據系統的位數(32/64)下載安裝即可,使用pip安裝yara-python會出現各種未知問題。
下載地址
https://code.google.com/archive/p/yara-project/downloads
使用
打開一個程序,然後使用Edit->plugin->findcrpt即可,如下
FindYara
安裝
使得ida可以使用yara特徵匹配功能,地址(https://github.com/OALabs/FindYara)
從github上下載FindYara.py並賦值到%IDA%\plugins下即可。
使用
在安裝好了yara-python後,接着編寫規則做對應的檢測即可。
一個簡單的rule
rule yara_demo
{
meta:
discription = "yara demo"
strings:
$a="GetActiveWindow"
condition:
$a
}
如下是使用檢測結果
Bindiff
安裝
安裝Bindiff工具需要使用一個OrcaMSI的工具包,如下是安裝過程
-
下載Bindiff
在官網下載bindiff5.(IDA pro7.0使用的版本)
-
安裝OrcaMSI工具包
修改bindiff可用
安裝之前需要修改要一下bindiff5,否則安裝會失敗,如下
這是由於安裝的版本限制在wiondow8.x版本,爲了能正常安裝需要使用orcaMSI工具修改一下版本的限制,打開bindiff5.msi之後,找到LauchCondition
修改爲600接着就能運行安裝了
安裝時找到IDA 的安裝路徑,然後一直確定就能安裝了。
使用
打開一個A樣本後,接着使用如下步驟對比兩個樣本的想似度,另一個必須是idb文件
File->bindiff選擇要作對比的idb文件接口,如下
