flare ida

พื้นที่เก็บข้อมูลนี้ประกอบด้วยคอลเลกชันของสคริปต์และปลั๊กอิน IDA Pro ที่ทีมงาน FireEye Labs Advanced Reverse Engineering (FLARE) ใช้

ในการติดตั้ง ให้คัดลอกเนื้อหาของไดเร็กทอรีปลั๊กอินในพื้นที่เก็บข้อมูลนี้ไปยังโฟลเดอร์ %PROGRAMFILES%IDAplugins ของคุณ

ไดเรกทอรี Python ที่นี่สามารถคัดลอกไปยังโฟลเดอร์ %PROGRAMFILES%IDApython ของคุณ หรือคุณสามารถแก้ไขตัวแปรสภาพแวดล้อม PYTHONPATH เพื่อรวมไดเรกทอรีได้

ปลั๊กอิน IDA shellcode_hashes_search_plugin.py ใช้การค้นหาแฮชที่อธิบายไว้ที่นี่: https://www.mandiant.com/blog/precalculated-string-hashes-reverse-engineering-shellcode/

ไดเร็กทอรี shellcode_hashes มีสคริปต์ที่ใช้สร้างฐานข้อมูลสำหรับสคริปต์ shellcode_hash_search.py ​​พร้อมด้วยฐานข้อมูลที่ให้มา

ปลั๊กอิน struct_typer_plugin.py ใช้การพิมพ์ struct ที่อธิบายไว้ที่นี่: https://www.mandiant.com/blog/applying-function-types-structure-fields-ida/

stackstrings_plugin.py ดำเนินการกู้คืนสตริงที่สร้างขึ้นด้วยตนเองซึ่งอธิบายไว้ที่นี่: http://www.fireeye.com/blog/threat-research/2014/08/flare-ida-pro-script-series-automatic-recovery-of- builded-strings-in-malware.html

สคริปต์สำหรับ IDA Pro นี้จะเพิ่มข้อมูล MSDN จากไฟล์ XML ไปยังฐานข้อมูล ข้อมูลเกี่ยวกับปลั๊กอินนี้สามารถพบได้ที่: https://www.fireeye.com/blog/threat-research/2014/09/flare-ida-pro-script-series-msdn-annotations-ida-pro-for-malware -analysis.html

มีฟังก์ชันการทำงานดังต่อไปนี้:

• สำรองฐานข้อมูลต้นฉบับ
• ดึงฟังก์ชันที่นำเข้าทั้งหมด
• นำเข้าคำอธิบายฟังก์ชัน
• นำเข้าคำอธิบายอาร์กิวเมนต์
• สร้างการแจงนับแบบกำหนดเองสำหรับค่าคงที่ที่ระบุรวมถึงคำอธิบาย
• เปลี่ยนชื่อค่าคงที่ให้เป็นค่าที่อ่านได้

TL; DR: ใน IDA ให้รัน annotate_IDB_MSDN.py

ไฟล์ทั้งหมด (สคริปต์ IDAPython, ตัวแยกวิเคราะห์ XML, ไฟล์ XML ข้อมูล MSDN ฯลฯ) ควรอยู่ในไดเรกทอรีเดียวกันกับที่ IDA Pro เข้าถึงได้ ใน IDA ให้ใช้ File - Script file... (ALT + F7) เพื่อเปิด annotate_IDB_MSDN.py แบบฟอร์มจะช่วยให้คุณสามารถเปลี่ยนการตั้งค่าและใส่คำอธิบายประกอบไฟล์ IDB หลังจากที่คุณคลิกตกลง

หลังจากรันสคริปต์หนึ่งครั้งแล้ว View - สคริปต์ล่าสุด (ALT + F9) ก็สามารถใช้ได้เช่นกัน

ปลั๊กอินนี้ช่วยให้คุณสามารถระบุหรือเลือกประเภทฟังก์ชันสำหรับการโทรทางอ้อมตามที่อธิบายไว้ที่นี่: https://www.fireeye.com/blog/threat-research/2015/04/flare_ida_pro_script.html

สคริปต์นี้ช่วยให้คุณสร้างรูปแบบฟังก์ชันได้อย่างง่ายดายจากฐานข้อมูล IDB ที่มีอยู่ซึ่งสามารถเปลี่ยนเป็นลายเซ็น FLIRT เพื่อช่วยระบุฟังก์ชันที่คล้ายกันในไฟล์ใหม่ ดูข้อมูลเพิ่มเติมได้ที่: https://www.fireeye.com/blog/threat-research/2015/01/flare_ida_pro_script.html

ยูทิลิตี้นี้สามารถช่วยคุณระบุอาร์กิวเมนต์แบบคงที่ของฟังก์ชันที่ใช้ในโปรแกรมได้ โดยทั่วไปจะใช้เพื่อแยกอาร์กิวเมนต์ไปยังฟังก์ชันตัวถอดรหัสสตริง ตัวอย่างการใช้งานมีอยู่ใน

• ตัวอย่าง/argtracker_example1.py
• ตัวอย่าง/argtracker_example2.py

โพสต์บล็อกพร้อมข้อมูลเพิ่มเติมสามารถดูได้ที่:

https://www.fireeye.com/blog/threat-research/2015/11/flare_ida_pro_script.html

สคริปต์นี้สร้างการอ้างอิงโยงระหว่างการอ้างอิงตัวเลือกและการใช้งานตามที่กำหนดไว้ในส่วนที่เกี่ยวข้องกับรันไทม์ Objective-C ของไฟล์ปฏิบัติการ Mach-O เป้าหมาย นอกจากนี้ยังแก้ไขตัวชี้อ้างอิงตัวเลือกเพื่อชี้ไปที่ฟังก์ชันการใช้งานแทน สิ่งนี้ทำให้การวิเคราะห์โค้ด Objective-C ง่ายขึ้นโดยทำให้การเปลี่ยนระหว่างการใช้งานและตำแหน่งที่ตัวเลือกถูกอ้างอิงตลอดทั้งโค้ดเป็นไปอย่างราบรื่น ความคิดเห็นโค้ด Objective-C ที่เป็นประโยชน์จะถูกเพิ่มลงในการเรียกแต่ละตัวแปร objc_msgSend เพื่อระบุอย่างชัดเจนว่าวิธีการใดที่ถูกเรียกใช้ในคลาสใด

ironstrings.py เป็นสคริปต์ IDAPython ที่ใช้การจำลองโค้ดเพื่อกู้คืนสตริงที่สร้างขึ้น (stackstrings) จากมัลแวร์ โปรดดูรายละเอียดใน README ของสคริปต์

code_grafter.py เป็นสคริปต์ IDAPython ที่ต่อกิ่งโค้ดเข้ากับฐานข้อมูล IDA เพื่อใช้ฟังก์ชันที่นำเข้าต่างๆ และเพิ่มความเป็นไปได้ในการรันโปรแกรมคลายแพ็กเกอร์หรือตัวถอดรหัสทั้งหมดภายใต้ Bochs (หรือเครื่องมือจำลองอื่น ๆ ที่ไม่ได้ใช้การจัดการพิเศษสำหรับสิ่งเหล่านี้ ฟังก์ชั่น) ซึ่งจะป้องกันข้อผิดพลาดเมื่อการดำเนินการจำลองไปถึงฟังก์ชันต่างๆ เช่น VirtualAlloc หรือ lstrlenA