FireEye公司发布了一些逆向插件,即stack_strings插件,该插件是栈字符串识别插件,可以自动识别栈上局部变量为字符串的插件,字符串形式如下,并自动的加上注释。
项目主页地址: https://github.com/fireeye/flare-ida
该项目有4个插件 本文介绍 stack_strings插件
首先项目使用了vivisect模块,所以在使用该插件之前需要先让Python安装好vivisect模块,由于vivisect项目不是用兼容setuptools的setup.py文件分发的,所以需要自己下载vivisect的源代码目录,并将其放入你的Python安装路径的Lib目录下,其中vivisect源代码可以到github上下载
https://github.com/vivisect/vivisect
下载后将起拷贝到python的lib目录下,然后配置环境变量PYTHONPATH,
下面开始安装stack strings,打开flare-ida.zip压缩包,将里面的stackstring.py拷贝到%IDADIR%\python目录下;然后再将压缩包里的stackstrings_plugin.py拷贝到%IDADIR%\plugins目录下,这样就完成了stack strings的安装。为了简便也可以直接将火眼所有插件复制到对应目录,完了之后在IDA里运行脚本,运行结果如下,识别出了栈上的字符串
