IDA 插件大賽 2022
VSole2022-12-14 09:42:50
Hex-rays 每年都會為 IDA 舉辦插件大賽,該大賽每年都會涌現出各種類型的插件,有安全團隊也有個人安全研究員,為了解決各種問題從而開發各種插件。今年的插件大賽一共入圍了九款插件。評審團最終評出的前三名為:
- ttdbg
- ida_kcpp
- FindFunc
以下是本屆插件大賽上九款插件的簡要介紹:
Condstanta
該插件用于搜索條件語句中的常量,不論是 if 還是 switch-case 語句都可以。
Condstanta
https://github.com/Accenture/Condstanta
FindFunc
該插件用于使用特定代碼模式或者特定字節模式匹配發現函數,目前針對 x86/x64 架構,但也支持其他架構。
FindFunc
https://github.com/FelixBer/FindFunc
FirmLoader
該插件解決了 SVD 插件的缺陷,不僅讀寫 XML 更具有優勢,而且能夠更方便地瀏覽制造商/設備列表。這樣在分析固件時,可以獲得更多便利。
FirmLoader
https://github.com/Accenture/FirmLoader
ida_bochs_windows
該插件可用于在 Bochs 調試時加載模塊與符號信息,方便調試。
ida_bochs_windows
https://github.com/therealdreg/ida_bochs_windows
ida_kcpp
該插件基于 ida_kernelcache 插件的分析結果,使研究人員可以更方便地對 iOS 內核緩存進行逆向工程。在分析特別復雜的,例如包含幾十個超類與虛函數的類時,都能夠表現良好。
ida_kcpp
https://github.com/cellebrite-labs/ida_kcpp
ida_names
該插件使用函數名重命名偽代碼窗口,這對打開非常多個窗口的用戶來說非常有用。
ida_names
https://github.com/archercreat/ida_names
quokka
該插件為導出工具,將 IDA 分析的信息進行導出。另外還提供了對應的 Python 庫,可以批量處理這些導出文件,并且利用 Capstone 與 pypcode 進行輔助逆向工程。
quokka
https://github.com/quarkslab/quokka
ttddbg
該插件可以讀取由 WinDBG 或 Visual Studio 生成的 Time Travel Debugging traces,使調試更容易。
ttddbg
https://github.com/airbus-cert/ttddbg
VulFi
該插件根據規則幫助分析人員進行漏洞發現,該插件的作者與 Condstanta 插件的作者都是埃森哲的 Martin Petran。
VSole
網絡安全專家