Anh em có cách nào để Export cái Color ra thành template không, đã thử tìm trong Reg nhưng không biết nó lưu ở chỗ nào bởi vì trước khi cài lại Win đã copy toàn bộ IDA ra rồi thế nhưng R
Trang 1Download here :
Attached Files
mIDA-1.0.4.zip (34.6 KB, 96 views)
Mấy hôm nọ change cái Color của IDA, nhưng hôm rồi máy bị dính exploit tùm lum nên đành ngậm ngùi cài lại Windows, thế là cái Style vừa change xong đi bụi luôn Anh em có cách nào để Export cái Color ra thành template không, đã thử tìm trong Reg nhưng không biết nó lưu ở chỗ nào bởi vì trước khi cài lại Win đã copy toàn bộ IDA ra rồi thế nhưng Run lên màu mè mất hết
Trang 2
IDA Plugin _ FindCrypt
IDA Plugin : FindCrypt
Trang 3Trong quá trình Analyze một chương trình thường thì chúng ta muốn quan tâm xem chương trình đó có sử dụng bất kì một thuật toán nào hay không.Các thông tin
về các thuật toán được sử dụng trong chương trình đôi khi rất hữu trong quá trình Reverse của chúng ta Tôi có tìm thấy một Plug của IDA cho phép chúng ta có thể thực hiện được công việc này Theo như tác giả của nó nói thì Plugin này có thể nhận dạng được các Crypto sau :
Quote:
* Blowfish
* Camellia
* CAST
* CAST256
* CRC32
* DES
* GOST
* HAVAL
* MARS
* MD2
* MD4
* MD5
* PKCS_MD2 (byte sequence used in PKCS envelope)
* PKCS_MD5 (byte sequence used in PKCS envelope)
* PKCS_RIPEMD160 (byte sequence used in PKCS envelope)
Trang 4* PKCS_SHA256 (byte sequence used in PKCS envelope)
* PKCS_SHA384 (byte sequence used in PKCS envelope)
* PKCS_SHA512 (byte sequence used in PKCS envelope)
* PKCS_Tiger (byte sequence used in PKCS envelope)
* RawDES
* RC2
* RC5
* RC6
* Rijndael
* SAFER
* SHA-1
* SHA-256
* SHA-512
* SHARK
* SKIPJACK
* Square
* Tiger
* Twofish
* WAKE
* Whirlpool
* zlib
Việc sử dụng nó rất đơn giản, chỉ việc copy file plw vào trong thư mục Plugin của IDA , sau đó khi Analyze chương trình ta chỉ việc chọn nó từ Plugins menu, công việc tiếp theo là hoàn toàn tự động.Trogn quá trình tìm kiếm nếu như phát hiện chương trình có sử dụng Crypto một hộp thoại thông báo sẽ hiện ra như sau :
Download Plugin : (Có 2 version nên tôi Up cả 2 lên cho anh em)
Attached Files
findcrypt.zip (260.9 KB, 251 views)
Trang 5findcrypt2.zip (261.6 KB, 290 views)
Kienmanowar(reaonline.net)
IDA SIGNATURE
Quá good, kien ! Tutor hay lắm, làm tiếp đi
Các bạn có nhầm lẫn ở file ids và file sig File ids dùng để name và comment cho các hàm export by ordinal, vd như MFCxx.dll thường export ra ở dạng 1xx, 2xx Khi đó ta dùng ids util để tạo file ids cho dll này từ lib file hay def file, rồi copy
nó vào IDA dir\ids\win File ids là 1 file zip có header # Khi IDA load 1 exe có dùng 1 dll export by ordinal, nó sẽ tự động tìm trong thư mục ids tương ứng file .ids của dll này, load nó lên và rename, add comment cho các hàm export by
ordinal của dll mà exe import
File sig là dạng file #, nó lưu byte pattern của các hàm thư viện mà file sig tạo ra cho thư viện đó Vd: MASM32.sig, Delphixxx.sig, VC671MFC.sig là các file .sig tôi tạo ra cho MASM32.lib, Delphi, MFC Có hai dạng file sig, 1 là autoload
và 1 là manual load Khi IDA load 1 exe, sau khi analyse xong, nó sẽ tự đông load file sig auto, và user có thể add file sig manual = tay Tạo file sig autoload rất khó,