Một số phím tắt khi sử dụng IDA - Trong tab IDA View-A: để nhảy tới entry point của file exe hay các entry point của file dll đang disasm, dùng tổ hợp phím Ctrl+E - Di chuyển tới một đị
Trang 1Một số phím tắt khi sử dụng IDA
- Trong tab IDA View-A: để nhảy tới entry point của file exe hay các entry point của file dll đang disasm, dùng tổ hợp phím Ctrl+E
- Di chuyển tới một địa chỉ VA: phím G
- Tìm kiếm chuỗi trong tab Name, Strings : Menu->Search (Alt-T):
- Liệt kê các tham chiếu đến một label: Menu->Jmp->Jmp to xrefs , hoặc sử dụng
phím X
- Viết comment cho một đoạn code: dùng phím ; hoặc Shift+; (hai chức năng này
hơi khác nhau một chút)
- Lưu bookmark: Muốn ghi bookmark tại một địa chỉ để sau này còn quay lại, ta
bấm chuột phải vào phần địa chỉ text bên trái, chọn Mark position (Alt+M), đặt tên bookmark cho dễ nhớ Liệt kê các bookmark Ctrl+M
- Thực hiện tính toán trong IDA: gõ Shìt + / để hiện cửa sổ lệnh, gõ biểu thức có
cú pháp giống ngôn ngữ C Chức năng này gần tương tự như lệnh calc bên
OllyDbg
- Đổi tên label, tên biến hay tên hàm cho dễ đọc : di chuyển con trỏ tới đó, dùng
phím N
- Xác định symbolic constant: ví dụ trong đoạn code sau
Code:
.text:0040C842 push edx ; phkResult
.text:0040C843 push 0 ; lpSecurityAttributes
.text:0040C845 push 0F003Fh ; samDesired
.text:0040C84A push 0 ; dwOptions
.text:0040C84C push 0 ; lpClass
.text:0040C84E push 0 ; Reserved
.text:0040C850 push offset SubKey ; "Software\\Microsoft\\Windows
CE Services\\"
.text:0040C855 push 80000002h ; hKey
Trang 2.text:0040C85A call ds:RegCreateKeyExW ; Indirect Call Near
Procedure
Để xác định hằng số 80000002h tương ứng với Symbol nào, chỉ cần bấm chuột
phải, chọn Symbolic constant->Use standard và chọn lấy hằng thích hợp trong
list hiện ra, Ở đây ta chọn HKEY_LOCAL_MACHINE Kết quả
Code:
.text:0040C842 push edx ; phkResult
.text:0040C843 push 0 ; lpSecurityAttributes
.text:0040C845 push KEY_ALL_ACCESS ; samDesired
.text:0040C84A push REG_OPTION_NON_VOLATILE ; dwOptions .text:0040C84C push 0 ; lpClass
.text:0040C84E push 0 ; Reserved
.text:0040C850 push offset SubKey ; "Software\\Microsoft\\Windows
CE Services\\"
.text:0040C855 push HKEY_LOCAL_MACHINE ; hKey
.text:0040C85A call ds:RegCreateKeyExW ; Indirect Call Near
Procedure
Light.phoenix(reaonline.net)
IDA PLUGINS
Tui attach lên các file plugin cho IDA 4.9 mà tôi đang có (còn rất nhiều plugin hay khác mà tôi chưa compile lại do lười, mệt mỏi) Trong plugins.rar có các plugin sau:
1 CoverIt
2 FindCrypt
3 highlighter
4 idb2sig
5 LoadMap
6 Mapgen
7 pdb
8 pdbplus
9 SSLKeyfinder
10 steath
Các bạn extract tất cả các file plw vào thư mục \plugins của IDA, riêng file
mapconv.dll là OllyDbg plugin, để import map2 file tạo ra từ mapgen vào
OllyDbg 2 plugin này rất hay, các bạn nên dùng, "bạn sẽ thích ngay mà"
Khi load IDA lên, các plugin này sẽ xuất hiện trong menu Edit - Plugins
Vì tới 10 plugin nên tôi lười viết hướng dẫn Khi dùng các plugin này, có gì thắc
Trang 3mắc các bạn cứ hỏi, ai biết sẽ trả lời
Hy vọng với IDA/WinDbg/OllyDbg/SoftIce, các bạn sẽ thật sự trở thành các
Reverser giỏi (các tool trên MS đã yêu cầu các security analyzer của họ phải biết hết, giỏi, và phải biết lập trình C/C++/ASM/C# để viết plugin, tool cho RE)
Attached Files
plugins.rar (288.0 KB, 264 views)
TQN(reaonline.net)
New Plug
Determina PDB Plugin for IDA Pro
Quote:
This is a replacement for the IDA PDB plugin which significantly improves the analysis of Microsoft binaries with public debugging symbols The distribution contains a binary plugin for IDA 4.9 and source code under a BSD license
Em thấy có cái Plugin này, nhưng chắc phải nhờ anh TQN check hộ xem nó có tính năng thế nào mà tác giả của nó nói là dùng để thay thế cho IDA PDB
Home site :
http://www.determina.com/security.research/
Attach here :
Attached Files
detpdb-0.2.zip (596.6 KB, 195 views)
Kienmanowar(reaonline.net)
IDA Plugins: DbgPlus
Quote:
DbgPlus plugin is a plugin that allows you to issue debugging commands through a command-line interface
This plugin provides you:
Trang 4- a command-line interface for debugging
- additional IDC debugging extensions
- an additional command scripting engine (backed by COMPEL)
The plugin should work with most IDA's debugger plugins and remote debuggers
However, there are some commands that are specific to Windows/x86
Attached Files
dbgplus.zip (309.9 KB, 188 views)
IDA Plugins: mIDA
Quote:
mIDA is a plugin for the IDA disassembler that can extract RPC interfaces
from a binary file and recreate the associated IDL definition mIDA is free
and fully integrates with the latest version of IDA (4.9)
This plugin can be used to :
* Navigate to RPC functions in IDA
* Analyze RPC function arguments
Trang 5* Understand RPC structures
* Reconstruct an IDL definition file
The IDL code generated by mIDA can be, most of the time, recompiled with the MIDL compiler from Microsoft (midl.exe)
mIDA is freely distributed to the community by Tenable in the hope it will be useful to you and help research engineers to work more effectively on RPC programs However, Tenable does not provide support for this tool and offers
no garantee regarding its use or output Please read the end-user license
agreement before using this program
Quote:
Last updated on Apr 11, 2006 with the following description: - Display
FC_CALLBACK address instead of '?'
- Generated IDL code can now be compiled with a midl compiler
- FC_ENUM16 is now displayed as a short
- Add support for obsolete keywords FC_ALIGNMX
- Add support for FC_BYTE_COUNT_POINTER
- Fix function name if a pdb file is used in IDA
- Fix the address of the argument structure in the edit box
- Wait that IDA has processed enerything in the queues before scanning
- If RPC functions are not defined as function, ask IDA to define them (useful for inline functions)
- Raise an Exception if the loop recursion limit is reached
- Display information about the RPC stub in the decompilation window
- Added ofile option for bash mode
- Ported to IDA5.0
Homepage : http://cgi.tenablesecurity.com/tenable/mida.php