Hex-Rays Decompiler Enhanced View

Posted: April 13, 2015 in Hex-Rays Decompiler Enhanced View, Uncategorized
Tags: ,

Author: ax330d

Link: https://github.com/ax330d/hrdev

Sơ lược: Đây là một plugin được tác giả viết bằng ngôn ngữ Python. Mục đích của tác giả khi xây dựng Plugin này chỉ đơn giản là muốn làm cho mã giả được tạo ra bởi Hex-Rays Decompiler trông dễ nhìn hơn. HRDEV sẽ lấy output của plugin chuẩn (tạo bởi Hex-Rays), sau đó phân tích output đó thông qua Python Clang, thực hiện một vài thay đổi, và kết xuất ra code ra một tab mới.

Cài đặt:

clang

  • Tiền hành cài đặt thêm LLVM (http://llvm.org/releases/3.6.0/LLVM-3.6.0-win32.exe)
  • Tiến hành kiểm tra lệnh import clang.cindex với Python trên cmd và Python trong IDA. Nếu không thấy báo lỗi “ImportError: No module named clang.cindex” là thành công.

Sử dụng:

  • Chạy IDA, load một target bất kỳ và đợi IDA hoàn tất quá trình phân tích.
  • Load HRDEV bằng cách nhấn Alt + F7, chọn và load file main.py.
  • Chọn function cần thực hiện decompile và nhấn “ALT + ,”. Kết quả so sánh khi thực hiện bằng Hex-Rays và HRDEV như sau:

Hex-Rays output:
Hrays

HRDEV output:

hrdev

Best Regards,

m4n0w4r

Comments
  1. Trongky says:

    Cho mình hỏi chút file main.py là load từ đâu vậy mình không tìm thấy file đó.

  2. kienmanowar says:

    Không có main.py nhé. Copy thư mục hrdev_plugin + hrdev.py vào thư mục plugins của IDA. Chắc chắn bạn đã cài đủ các Requirements. Nếu ok thì sẽ hoạt động như tôi mô tả ở trên!

    Regards,

  3. Trongky says:

    Mình đã cài theo hướng dẫn trên,nhưng tìm cả máy tính không có thư mục như bạn bảo,không biết còn gói gì trên bài hướng dẫn không nhắc tới không,mình đã import thử trên cả 2 đều không thấy báo lỗi

  4. kienmanowar says:

    Không thấy thư mục là thư mục nào?? Nếu là thư mục plugins thì bạn cài IDA ở đâu thì nó nằm ở đó :D. Ví dụ như của tôi : “F:\IDA Tools\IDA Pro 6.6 Orginal\plugins”. Kiểm tra Import trên cmd và trong IDA mà không thấy có lỗi là ok rồi.

    Regards,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.