2020年IDA插件大赛:DynDataResolver夺冠

  • A+
所属分类:安全新闻

今年IDA官方举办的插件开发比赛,结果已经出炉,前三名分别为:

  1. DynDataResolver

  2. Lucid 与 grap

  3. efiXplorer


01
DynDataResolver

项目地址:

https://github.com/Cisco-Talos/DynDataResolver


DynDataResolver简称DDR,由Cisco安全团队成员开发,使用DynamoRIO框架进行二进制插桩,帮助从运行的软件中提取有价值的信息并显示出来,比如执行过的指令、寄存器值、API调用日志等等。虽然安装比较麻烦,但毕竟开源免费,通常被用来分析恶意软件。


2020年IDA插件大赛:DynDataResolver夺冠

2020年IDA插件大赛:DynDataResolver夺冠


更多信息可以参考:

https://blog.talosintelligence.com/2020/05/dynamic-data-resolver-1-0.html


02
Lucid

项目地址:

https://github.com/gaasedelen/lucid


Lucid是一款交互式查看IDA 微码(中间语言)的插件,它能够将F5代码与对应微码高亮显示出来,其提供的交互功能非常适合用来学习反编译器中的微代码转换,通过微码可以对抗软件混淆,对付花指令、乱序等情况。


2020年IDA插件大赛:DynDataResolver夺冠

2020年IDA插件大赛:DynDataResolver夺冠


03
grap

项目地址:

https://github.com/QuoSecGmbH/grap/


grap是基于汇编和控制流的二进制相似度匹配检测插件,支持DOT图形描述语言来自定义规则,可以考虑用来识别一些历史漏洞函数。


2020年IDA插件大赛:DynDataResolver夺冠



04
efiXplorer

项目地址:

https://github.com/binarly-io/efiXplorer


efiXplorer是一款UEFI固件分析插件,可以解压UEFI固件中的所有模块,并自动分析整合到同一个IDB,实现跨模块的交叉引用识别。


2020年IDA插件大赛:DynDataResolver夺冠


05
bf

下载地址:

https://www.hex-rays.com/wp-content/static/contests_details/contest2020/bf/bf.zip


bf是brainfuck语言反编译器插件,这种语言实在是太小众了,而且该插件不稳定,可能导致IDA崩溃。


2020年IDA插件大赛:DynDataResolver夺冠

06
bip

项目地址:

https://github.com/synacktiv/bip/


Bip是一个旨在简化Python与IDA交互的插件,提升在IDA的Python交互式控制台的使用和插件编写效率,它安装简单,且有相关文档和示例代码。


2020年IDA插件大赛:DynDataResolver夺冠


07
capa explorer

项目地址:

https://github.com/fireeye/capa/


capa explorer是由Fireeye使用Python开发的一款与capa框架交互的IDA插件,capa是用来识别PE可执行程序行为的,比如检测shellcode、后门、病毒的行为,通过一套可查看和设置的规则来定义


2020年IDA插件大赛:DynDataResolver夺冠

2020年IDA插件大赛:DynDataResolver夺冠



08
FingerMatch

项目地址:

https://github.com/jendabenda/fingermatch


FingerMatch用于二进制程序间的模糊匹配的Python插件,基于函数、数据、类型和注释等信息进行检测。在无符号的程序逆向分析中,有时可以借助它与疑似的开源库作相似度比对,若找到其使用的开源库,对于提高分析效率将有很大帮助。


2020年IDA插件大赛:DynDataResolver夺冠


09
idaDiscover

下载地址:

https://www.hex-rays.com/wp-content/static/contests_details/contest2020/idaDiscover/idaDiscover.7z


idaDiscover是一款辅助分析恶意软件的插件,支持搜索加密和动态生成的字符串,内嵌PE文件、可疑循环、加密和Hash算法等等。


2020年IDA插件大赛:DynDataResolver夺冠

10
idahunt

项目地址:

https://github.com/nccgroup/idahunt


idahunt是Python脚本开发的命令行工具,算不上严格意义上的IDA插件,通过命令行调用IDA分析二进制程序,支持/PE/ELF/MACH-O等程序,可以同时打开多个IDB进行分析,指定相应的Python脚本进行自动化分析。比较适用的场景包括微软补丁分析、同家族的恶意软件分析、分析打包的二进制压缩包(比如UEFI, HP iLO, Cisco IOS 路由器, Cisco ASA 防火墙等等)。


2020年IDA插件大赛:DynDataResolver夺冠


11
ida_medigate

项目地址:

https://github.com/medigate-io/ida_medigate


ida_medigate用于逆向C++的插件,用于辅助分析虚函数分发,支持虚函数的交叉引用识别。


2020年IDA插件大赛:DynDataResolver夺冠

2020年IDA插件大赛:DynDataResolver夺冠


12
idapm

项目地址:

https://github.com/tkmru/idapm


idapm是IDA插件管理器,可以帮助用户完成棘手的插件管理任务:添加,删除,罗列插件。


2020年IDA插件大赛:DynDataResolver夺冠


13
PacXplorer

下载地址:

https://www.hex-rays.com/wp-content/static/contests_details/contest2020/PacXplorer/pacxplorer.zip


PacXplorer支持分析ARM64 PAC指令,以提供一种新型的交叉引用:从调用方到虚拟函数,反之亦然。通过分析每个启用PAC的虚拟方法调用方,并使用在其中找到的信息来解析目标,对使用Apple的指针验证码(PAC)功能的任何二进制文件分析提供很大的帮助。


2020年IDA插件大赛:DynDataResolver夺冠


14
PETree

项目地址:

https://github.com/blackberry/pe_tree


PETree提供在IDA中分析PE文件格式的功能,并提供直观漂亮的可视化图像,以树结构形式展示分析结果,可以帮助分析加壳或加密的恶意软件。


2020年IDA插件大赛:DynDataResolver夺冠

15
qiling

下载地址:

https://raw.githubusercontent.com/qilingframework/qiling/dev/qiling/extensions/idaplugin/qilingida.py


qiling是一款二进制仿真的Python插件,在Qiling二进制仿真框架与IDA之间架起桥梁,使得可以像在实际调试会话中一样查看寄存器和堆栈。


2020年IDA插件大赛:DynDataResolver夺冠

16
Renamer

下载地址:

 https://github.com/ClarotyICS/ResearchTools/tree/master/IDA/Renamer


Renamer是基于字符串来重命名函数的插件。


2020年IDA插件大赛:DynDataResolver夺冠



17
SmartJump


项目地址:

https://github.com/PwCUK-CTO/SmartJump


SmartJump通过在调试中解引用寄存器和内存的功能,将IDA自带的“ g”快捷键已提供的功能添加到列表中。这样就可以编写出功能更强大的表达式,例如:[[rsp] + ebx,确实方便许多。


2020年IDA插件大赛:DynDataResolver夺冠

2020年IDA插件大赛:DynDataResolver夺冠



2020年IDA插件大赛:DynDataResolver夺冠





本文始发于微信公众号(漏洞战争):2020年IDA插件大赛:DynDataResolver夺冠

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: