Archive for September, 2015

[IDA Plugin] Snowman

Posted: September 19, 2015 in [IDA Plugin] Snowman
Tags:
2

Home site: http://derevenets.com

Snowman (tên cũ trước đây là SmartDec), là một plugin hoàn toàn miễn phí, cung cấp khả năng dịch ngược về mã nguồn gốc C/C++ tương tự như plugin nổi tiếng HexRays, hỗ trợ đa nền tảng như x86, AMD64, và ARM. Plugin này tích hợp hoàn toàn với giao diện của IDA, hỗ trợ cho phép dịch ngược một hàm được lựa chọn hoặc toàn bộ chương trình chỉ bằng một phím tắt (nói theo ngôn ngữ teen bây giờ là “dịch ngược trong vòng một nốt nhạc” 😀 ) và dễ dàng chuyển đổi qua lại giữa mã disassembler và mã đã được dịch ngược.

Phiên bản mới nhất của Plugin là v0.0.8 (17 September 2015), hỗ trợ các phiên bản IDA 6.3-6.8:

  • x86: automatic choice between AMD64 and MSVC 64-bit calling conventions.
  • PE parser: added parsing of exports (thanks to Jeff Muizelaar).
  • ELF parser: fixed reading of section headers in big-endian executables (thanks to Markus Gothe for reporting).
  • Improved LikeC code simplification: support for the index operator, special treatment of expressions in the boolean context, simplification of mathematical identities.
  • Improved and corrected reconstruction of expressions.
  • Fixed an error in the structural analysis leading to assertion failure during code generation.
  • ASCII strings detection is now more pessimistic.
Để sử dụng, tải plugin tại đường dẫn sau: http://derevenets.com/files/snowman-plugin-v0.0.8-win-qt4.8.7z. Sau đó giải nén và copy vào thư mục plugins của IDA. Sau khi load chương trình vào IDA để phân tích, lựa chọn hàm cần dịch ngược và nhấn phím tắt của plugin là F3.
 SnowmanHình minh họa
PS: Hiện tại, nhóm tác giả của plugin đang nỗ lực để hoàn thiện plugin này nhằm tạo ra mã tốt hơn (tham vọng chắc là phải tương đương HexRays 🙂 ), giao diện tiện lợi hơn và hỗ trợ thêm nhiều nền tảng khác nữa. Trong quá trình sử dụng nếu có vấn đề gì liên quan có thể góp ý tại đây: https://github.com/yegord/snowman
Regards,
m4n0w4r

IDA Pro Python Editor v2

Posted: September 10, 2015 in IDA Pro Python Editor v2, IDA Pro section
Tags:
0

pyedit

Tác giả : storm shadow (aka Techbliss Owner (http://techbliss.org))
Thông tin về trình editor có thể xem tại đây: https://github.com/techbliss/Python_editor

Theo như tác giả viết, tác giả cảm thấy chán ghét khi phải thực thi các python script theo cách cũ, do đó đã nảy ra ý tưởng và tự code một trình Python Editor dành riêng cho IDA. Trình soạn thảo này tương tự như trình soạn thảo mà IDA đã có nhưng nó đẹp hơntốt hơn 🙂 (theo như quảng cáo :D)

Để cài đặt và sử dụng được trình soạn thảo này (nếu như đọc trên site thì thấy tác giả viết hơi rối rắm 🙂 hoặc có thể là do tôi đọc hoài không hiểu :P) thực hiện các bước sau đây:

  1. Vào link sau https://drive.google.com/file/d/0B5KQmTKmJ3kQNl9UQlMzMDZLMFE/view?usp=sharing để tải PyQt4_withcorrect_runtime.zip. Trong file nén này bao gồm các requirement packages để phục vụ việc thực thi trình soạn thảo, bao gồm PyQt4Sip dành cho PyQt4.
  2. Sau khi download được PyQt4_withcorrect_runtime.zip, tiến hành bung nén toàn bộ vào thư mục: C:\Python27\Lib\site-packages. Sau khi bung sẽ có được C:\Python27\Lib\site-packages\PyQt4 và 3 file sip tại C:\Python27\Lib\site-packages\
  3. Tiếp theo tải Python Editor v2 tại đây https://github.com/techbliss/Python_editor
  4. File download về là Python_editor-master.zip. Tiến hành bung nén, sau đó copy toàn bộ thư mục Code editor và file Python_editor.py vào thư mục plugins của IDA.
  5. Quá trình cài đặt hoàn tất, load IDA lên sẽ nhận được thông tin sau tại Output Window:opwindow
  6. Để kích hoạt, chọn Menu Edits > Plugins > Python Editor. Lúc đó, trình soạn thảo sẽ được load vào menu File, tương tự như hình dưới đây:
    editfilemenu
  7. Nhấn phím tắt Alt + E để mở trình Python Editor:
    PythonEditor

Chúc các bạn thành công!

Regards,
m4n0w4r

OllyDumpEx Plugin

Posted: September 8, 2015 in Uncategorized
Tags:
0

Overview

This plugin is process memory dumper for OllyDbg and Immunity Debugger. Very simple overview:

OllyDumpEx = OllyDump + PE Dumper – obsoleted + useful features

Features

  • Various debuggers supported
  • Select to dump debugee exe, loaded dll or non-listed module
  • Search PE File from memory
  • Multiple Dump mode. Rebuild for typical PE dump, Binary for PE Carving
  • PE32+ supported (Search and Binary Dump mode only available on 32bit debugger)
  • Native 64bit process supported (IDA Pro, WinDbg and x64_dbg)
  • Dump any address space as section even if not in original section header
  • Add dummy section to keep PE format consistency
  • Fix RVA in DataDirectory to follow ImageBase change
  • Auto calculate many parameters (RawSize, RawOffset, VirtualOffset, …)

Recent Changes

– v1.50 / 2015-07-03

  • Add: Fuzzy Search mode (for corrupted MZ/PE Signature)
  • Add: Fix Corrupted PE Header option (Fill Hole option is merged)
  • Add: Dump result dialog for copy and paste
  • Improve: Search method optimization
  • Improve: Corrupted PE Header handling
  • Improve: Binary dump mode support some options
  • Bugfix: Rebased PE handling (rebuild dump mode)
  • Bugfix: Debuggee filename error on attached process (IDA)
  • Bugfix: Get EIP does not work in recent version (x64_dbg)

a

Download here:

http://low-priority.appspot.com/ollydumpex/OllyDumpEx.zip

Regards,