最强辅助!IDA 辅助工具Karta——二进制文件中搜索开源代码

最新推荐文章于 2024-04-05 18:54:05 发布
最新推荐文章于 2024-04-05 18:54:05 发布
阅读量1.4k 收藏 5
点赞数
分类专栏: 免费分享 技术文 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Appleteachers/article/details/116656773
版权

介绍
“ Karta”是IDA的python插件,其功能是在已经编译过的二进制文件中搜索是否使用了开源的代码。该插件是为了匹配大体积二进制文件中的开放源代码库的开源代码(通常是查找固件)。对于每天处理固件的人来说,反复的执行net-snmp显然是在浪费时间。所以需要一个工具来识别二进制文件所使用的开源,并在IDA中自动匹配。

这个插件的初衷是加快匹配的过程。用几个小时去匹配一个包含300个函数的库是很低效的一件事,更何况实际工作过程中逆向的工程会远大于此,比如超过100,000个函数的体积。当然,结合逆向工程行业的一些经验教训,我们解决了这个问题,并取得了比预期更好的结果。

事实证明,出于性能原因而部署的启发式方法对匹配结果也有很大的影响。该插件产生的误报率非常低,而准确性很高。这对于匹配中小型二进制文件也很有用。

因此,我们认为Karta可以成为研究人员的重要工具。

Karta的功能如下:

  • 侦查阶段–鉴别二进制文件中使用的开源代码,包括其版本。
  • 清除混淆状况-为使用的开源代码匹配符号,从而节省逆向工程看起来是已知功能的时间。
  • 查找1 day–使用已使用的开源代码列表,其符号已在二进制文件中匹配,可以轻松地在可执行文件\固件文件中查找1 day。

Karta
如前所述,Karta是IDA的源代码辅助二进制匹配插件。该插件实现了2个功能:

  • 1.标识–标识静态编译的开源代码的确切版本。
  • 2.匹配–匹配已识别开源的符号。
    该插件的源代码现在可以在Github中找到。

有时在不同体系架构上编译开源库是一件非常困难的事,因此我们通过使插件体系架构独立来消除了此步骤。例如,如果我们要匹配libpng开源版本1.2.29 (在HP OfficeJet固件中使用的版本),我们要做的就是从Github克隆它并在我们的(x86)机器上编译它。编译之后,Karta可以生成一个描述该库的规范的.json配置文件。使用此配置,即使固件已编译为Big-Endian ARM Thumb模式,我们的插件现在也可以成功地在固件中找到该库。

Karta由模块组成,IDA反汇编器模块可以用任何其他反汇编模块代替。

寻找 1 day
虽然我们描述了插件的几个使用案例,但在流行软件中寻找1day可能是最有趣的。这是我们研究的两个现实的例子。

HP OfficeJet固件
在我们的FAX研究过程中,我们需要1天的时间才能用作调试漏洞。最终,我们使用了Devil’s Ivy。在完成Karta的开发之后,就该回到固件并检查Karta如何帮助我们进行研究了。

Karta的返回结果显示固件中使用的开源库是:

  • libpng: 1.2.29
  • zlib: 1.2.3
  • OpenSSL: 1.0.1.j
  • mDNSResponder: unknown
  • gSOAP: 2.7
    在这里我们可以看到确实使用了gSOAP,并且快速的CVE搜索表明它包含一个关键漏洞:CVE-2017-9765(Devil’s Ivy)。

在为该版本的gSOAP快速编译配置后,我们运行了匹配器并导入了匹配的符号。在这里我们可以看到Karta匹配了易受攻击的代码函数soap_get_pi:

在这里插入图片描述

图1:反编译的soap_get_pi函数,与插件匹配。

对于我们的插件来说,这是个好消息:它可以在实际情况下按预期工作。

普通的闭源软件– TeamViewer
在固件中轻松找到1day很方便,但是我们在Windows PC上使用的日常程序又如何呢?在阅读Project Zero在WebRTC上的博客文章时,我们看到他们在一个名为libvpx的库中发现了一个漏洞:

CVE-2018-6155 在称为VP8的视频编解码器中可以免费使用。有趣的是,由于它会影响VP8库libvpx而不是WebRTC中的代码,因此它有可能影响使用WebRTC之外的使用该库的软件。由于此错误,发布了针对libvpx的通用修复程序。

这看起来很有趣,因为Project Zero特别指出此漏洞“具有影响使用WebRTC以外的其他功能使用该库的软件的潜力。” 我们已经在计算机上安装了TeamViewer,听起来应该使用相同的开源库,让我们检查一下。

我们在IDA中打开了TeamViewer.exe,并在进行分析的同时开始工作。我们下载了最新版本的libvpx(1.7.0),为其编写了一个简单的标识符,并将其添加到Karta。由于我们等不及IDA完成分析,因此我们停止了分析并运行Karta的标识符插件。确定的开源是:

  • zlib: 1.2.5
  • mDNSResponder: unknown
  • libjpeg: 8b
  • libvpx: 1.6.1
    TeamViewer不仅使用libvpx,而且使用的是2017年1月以来的旧版本。

查看Google发行的补丁,我们知道我们感兴趣的函数是vp8_deblock,如下所示:

在这里插入图片描述

图2: vp8_deblock函数的代码片段,容易受到CVE-2018-6155的攻击

我们让IDA恢复分析,并着手为libvpx版本1.6.1编译Karta

最低0.47元/天 解锁文章
你永远不了解Thrash的魅力
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
IDA源码分析工具
02-06
IDA源码分析工具
IDA-辅助工具Karta简单使用教程
darui_csdn的博客
05-12 937
IDA-辅助工具Karta简单使用教程介绍安装使用测试摸索参考文章 笔者在研究如何对目标系统,进行属性特征信息提取时,大佬指点到本工具,简单研究一下。 介绍 “ Karta”是IDA的python插件,其功能是在已经编译过的二进制文件搜索是否使用了源的代码。该插件是为了匹配大体积二进制文件源代码库的源代码(通常是查找固件)。对于每天处理固件的人来说,反复的执行net-snmp显然是在浪费时间。所以需要一个工具来识别二进制文件所使用的源,并在IDA自动匹配。 这个插件的初衷是加快匹配的过程。
KartaIDA源代码辅助插件
weixin_43977912的博客
11-30 2580
关于Karta Karta是一款功能大的IDA Python插件,该工具可以识别并匹配给定代码源代码库。该插件使用了一种独特的技术,使其能够支持大型二进制文件(>200000个函数),而同时几乎不会影响整体性能。 Karta所使用的匹配算法是位置驱动的,这意味着它的主要焦点是定位不同的编译文件,并根据文件的原始顺序匹配每个文件的函数。这种匹配方式依赖于源函数的数量K,而不是二进制文件的大小N,因此可以实现显著的性能提升。 使用场景 我们认为Karta这个IDA插件有三大使用场景: 搜索目标
[Reverse]IDA使用保姆级指南
qq_24481913的博客
07-10 8302
IDA会出现两个图标,其X64是用来反编译64位程序的,而X32是用来反编译32位程序的。常用的软件有exeinfope.exe或者使用IDA软件本身查看使用ida程序后会出现界面通常情况下,这个界面可以直接使用ok来继续,该界面主要是选择什么模式去解析该软件。IDA的主要界面如上所示左侧窗口为函数列表窗口,右侧窗口为IDA反汇编所得的汇编代码,最下侧窗口为文件在反汇编过程的信息。
ctfshow pwn2
qq_39980610的博客
08-19 751
pwn2
查看代码的辅助方法
madong369的博客
12-28 1310
辅助查看代码的操作
IDA Pro——逆向工程,二进制分析必备软件
02-12
交互式反汇编器专业版...IDA Pro已经成为事实上的分析敌意代码的标准并让其自身迅速成为攻击研究领域的重要工具。它支持数十种CPU指令集其包括Intel x86,x64,MIPS,PowerPC,ARM,Z80,68000,c8051等等。
Python-BinCAT一个直接从IDA进行静态二进制代码分析工具
08-10
BinCAT 一个直接从IDA进行静态二进制代码分析工具包,旨在帮助进逆向工程师
IDA Pro v5.5/v6.8二进制补丁插件,支持更改二进制代码
12-04
IDA Pro v5.5/v6.8二进制补丁插件,支持更改二进制代码
fingermatch:FingerMatch 是 IDA 插件,用于从分析的二进制文件收集函数、数据、类型和注释,并将它们模糊匹配到另一个二进制文件
05-31
IDA 插件,用于从分析的二进制文件收集函数、数据、类型和注释,并将它们模糊匹配到另一个二进制文件。 添加一名作者许可证:无,公共领域主页: : 用法 指纹库,然后将它们与您要分析的二进制文件进行匹配,...
idahunt:idahunt是一个使用IDA Pro分析二进制文件并在IDA Pro搜寻事物的框架
05-28
idahunt是一个使用IDA Pro分析二进制文件并在IDA Pro搜寻事物的框架。 它是用于从给定文件递归分析所有可执行文件的命令行工具。 它在后台执行IDA,因此您不必手动打每个文件。 它支持执行外部IDA Python...
【iOS逆向与安全】利用IDAPython插件提高反汇编和逆向工程效率
小陈的技术博客
03-27 1403
IDA Python是一个用Python语言编写的插件,它为IDA Pro提供了可扩展性和自动化脚本支持。使用IDA Python,可以以更快、更简单的方式完成反汇编和逆向工程任务。
IDA PRO汇编结构体识别
不会写代码的丝丽
07-30 1274
从上图可知栈区临时定义的变量会在EBP之下,传入的参数会在EBP之上。EBP-xxx可以得到临时变量,而EBP+可以得到传入参数等。首先我们注意到个细节栈区有两个变量默认名称分别为var_3fc和ArgList刚好相差508个字节。而这个字节大小正好是我们定义。我们打IDAPRO的结构体视图按下insert键插入一个新的自定义结构体。进行加减得到,所以这两个数都是本地变量,而不是函数调用传入的。我们首先把一些call调用的函数名称加上。在上面右键可以添加相对应字段。提示都是负数并且都是基于。...
【逆向基础】四、IDA使用技巧随记
幸福之家的博客
03-21 1005
计算PE文件偏移地址
Karta:一款新的二进制文件分析和对比插件
systemino的博客
04-25 1802
前言 “Karta”(在俄语的意思是“map”)是IDA(一个静态反编译程序)的源代码辅助二进制对比插件,该插件的发是为了对比一个非常大的二进制文件(通常是固件文件源库的符号。对于那些每天都要处理固件文件的人来说,重复逆转net-snmp(一个免费的、源代码的SNMP实现,以前称为UCD-SNMP)非常浪费时间的。所以,人们急需一种对比插件工具,来识别使用过的源码,并在IDA...
ida数据提取技巧-利用LazyIDA插件实现一键提取无法识别的字符串
最新发布
这个博主不懒,但Ta什么也没写~(私信互关24小时必回)
04-05 823
首先具体介绍一下这个技巧的意思,因为标题可能没有说的很明白在使用ida逆向分析的过程,会遇到某些密文、密钥之类的字符串,而这些字符串往往不全是由正常字符组成的,其存在一些非常规字符,而一旦ida在识别字符串的过程识别到这种字符,就会认为该字符串到此已经结束(但我们知道,字符串必须是由0来结束的),并把之后的字符当成内存无意义的数据进行排列,例如下图所示的【】字符。
世界顶级的交互式反汇编工具——ida的使用详解
热门推荐
m0_57485346的博客
11-03 1万+
世界顶级的交互式反汇编工具——ida的使用详解
IDA Pro 反汇编器使用详解,适合逆向新人和老人的权威指南(一)
Sciurdae的博客
10-08 1万+
IDA Pro 反汇编器使用详解,适合逆向新人和老人的权威指南(一)
ida 基本操作
weixin_44511438的博客
11-03 4772
IDA PRO基本操作 0x00 为何反汇编 通常,使用反汇编工具是为了在没有源代码的情况下促进对程序的了解。需要进行反汇编的常见情况包括以下几种 分析恶意软件 分析闭源软件的漏洞 分析闭源软件的互操作性 分析编译器生成的代码,以验证编译器的性能和准确性 在调试时显示程序指令 反汇编又分为静态分析和动态分析两种。动态分析是指在严格控制的环境(沙盒)执行恶意软件,并使用系统检测实用工具记录其所...
win10如何使用IDA Pro分析IPA文件二进制代码
06-07
要在Windows 10上使用IDA Pro分析IPA文件二进制代码,请按照以下步骤进行操作: 1. 下载并安装IDA Pro:您可以从IDA Pro的官方网站(https://www.hex-rays.com/products/ida/support/download.shtml)下载并...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值