最近在折腾新机,旧机有些东西没有备份(。)导致很多东西要重装一遍,顺便记录一下IDA及各插件的安装方法。
环境是win10,IDA版本为v7.0(IDA Pro 7.0 绿色版)。
每个插件带一个下载地址&&安装方法,features摘自各个项目的主页
一切的最开始:改变ida.cfg
见:修改ida配置文件 · c10udlnk/someFixedConfigs@1dd5561
参考《加密与解密(第四版)》P66-68。
LazyIDA
- 项目地址:https://github.com/L4ys/LazyIDA
- 安装方法:直接将下载的.py文件放入IDA_Pro_v7.0_Portable\plugins文件夹中。
features
- 在反编译窗口(Hex-Rays Window)中移除函数返回类型。
- 在反汇编窗口(Disasm Window)中将数据转换成C++/python/…类型的不同尺寸数组。
- Disasm Window下,按w复制所在行的地址。
- Hex-Rays Window下,按w复制当前对象的地址,按c复制当前对象的名字,按v移除当前对象的返回类型。
- 扫描格式化字符串漏洞。
findcrypt-yara
- 项目地址:https://github.com/polymorf/findcrypt-yara
- 安装方法:先用pip安装yara-python(注意不是yara),再将.py文件和.rules放入IDA_Pro_v7.0_Portable\plugins文件夹中。
- 按
ctrl+alt+f
快捷键显示findcrypt窗口即为安装成功。
注意:
- windows下安装yara-python需在IDA_Pro_v7.0_Portable\python27目录下打开cmd,并输入
.\python.exe lib\site-packages\pip install yara-python==3.11.0
进行安装(安装在外面的python2环境无效)。https://blog.csdn.net/szxpck/article/details/107203718 里有对这个问题进行说明,主要的点有:① IDA使用的python版本是python2;② yara-python只有3.11.0版支持python2。
- 如果有报错,尝试:安装Microsoft Visual C++ Compiler for Python 2.7支持库。(在查找问题的时候看到这个,但装完以后没有效果,用了1以后才安装成功,也许这个也要安装?)
features
寻找加密方法的常数(以发现加密方法)。
keypatch
- 项目地址:https://github.com/keystone-engine/keypatch
- 安装方法:先安装keystone引擎,再将下载的.py文件放入IDA_Pro_v7.0_Portable\plugins文件夹中。
- 按
ctrl+alt+k
快捷键显示keypatch窗口即为安装成功。
注意:
IDA pro 7.0 绿色版的说明中提到,
keypatch.py的文件也已经被放入plugins文件夹中,直接在IDA_Pro_v7.0_Portable\python27目录下打开cmd,并输入.\python.exe lib\site-packages\pip install keystone-engine
安装keystone后即可使用keypatch。
features
直接使用汇编代码修改二进制文件。
hexlight
- 项目地址(看雪-修改版,原版没找到):https://bbs.pediy.com/thread-226099.htm
- 安装方法:直接将下载的.py文件放入IDA_Pro_v7.0_Portable\plugins文件夹中。
features
高亮代码,增加高亮匹配括号
deREferencing(IDA版本需>=7.1,无法安装)
- 项目地址:https://github.com/danigargu/deREferencing
- 安装方法:直接将下载的.py文件放入IDA_Pro_v7.0_Portable\plugins文件夹中。
features
让寄存器窗口和栈窗口的长得像一些gdb调试的窗口(增强窗口显示)。
IDAGolangHelper
- 项目地址:https://github.com/sibears/IDAGolangHelper
- 安装方法:直接将下载的go_entry.py文件和GO_Utils文件夹放入IDA_Pro_v7.0_Portable\plugins文件夹中。
- 打开Go编译的二进制文件时左边函数名为”runtime_”等有规律的的名字即为安装成功。
features
修饰Go函数名和变量名,帮助逆向Go(
Ponce
- 项目地址:https://github.com/illera88/Ponce/releases/tag/v0.3
- 安装方法:把对应平台的对应IDA版本文件夹中的两个dll文件放入IDA_Pro_v7.0_Portable\plugins文件夹中。
features
angr和Triton的可视化辅助。
qira
- 官网:http://www.qira.me/
- 安装方法:按照官网方法安装以后(ubuntu 18.04见【从无到有】qira在Ubuntu 18.04下的安装&使用 | c10udlnk_Log),在
qira-1.3\ida\bin
下找到qira_ida66_windows.p64
和qira_ida66_windows.plw
文件,并放入IDA_Pro_v7.0_Portable\plugins文件夹中。
features
见官网,总之是一个能跟IDA搭配的可回溯调试器。
没有了,有再补充吧0v0。