最强辅助!IDA 辅助工具Karta——二进制文件中搜索开源代码

最新推荐文章于 2024-08-08 07:06:29 发布
最新推荐文章于 2024-08-08 07:06:29 发布
阅读量1.5k 收藏 5
点赞数
分类专栏: 免费分享 技术文 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Appleteachers/article/details/116656773
版权
Karta是一款IDA插件,用于在编译过的二进制文件中搜索开源代码,尤其适用于固件分析。通过匹配函数和版本识别,Karta能高效地识别出二进制文件中的开源库,如libpng、zlib等,并有助于在大型二进制文件中查找1-day漏洞。Karta的高准确性和低误报率使其成为安全研究人员的有力工具。
摘要由CSDN通过智能技术生成

介绍
“ Karta”是IDA的python插件,其功能是在已经编译过的二进制文件中搜索是否使用了开源的代码。该插件是为了匹配大体积二进制文件中的开放源代码库的开源代码(通常是查找固件)。对于每天处理固件的人来说,反复的执行net-snmp显然是在浪费时间。所以需要一个工具来识别二进制文件所使用的开源,并在IDA中自动匹配。

这个插件的初衷是加快匹配的过程。用几个小时去匹配一个包含300个函数的库是很低效的一件事,更何况实际工作过程中逆向的工程会远大于此,比如超过100,000个函数的体积。当然,结合逆向工程行业的一些经验教训,我们解决了这个问题,并取得了比预期更好的结果。

事实证明,出于性能原因而部署的启发式方法对匹配结果也有很大的影响。该插件产生的误报率非常低,而准确性很高。这对于匹配中小型二进制文件也很有用。

因此,我们认为Karta可以成为研究人员的重要工具。

Karta的功能如下:

  • 侦查阶段–鉴别二进制文件中使用的开源代码,包括其版本。
  • 清除混淆状况-为使用的开源代码匹配符号,从而节省逆向工程看起来是已知功能的时间。
  • 查找1 day–使用已使用的开源代码列表,其符号已在二进制文件中匹配,可以轻松地在可执行文件\固件文件中查找1 day。

Karta
如前所述,Karta是IDA的源代码辅助二进制匹配插件。该插件实现了2个功能:

  • 1.标识–标识静态编译的开源代码的确切版本。
  • 2.匹配–匹配已识别开源的符号。
    该插件的源代码现在可以在Github中找到。

有时在不同体系架构上编译开源库是一件非常困难的事,因此我们通过使插件体系架构独立来消除了此步骤。例如,如果我们要匹配libpng开源版本1.2.29 (在HP OfficeJet固件中使用的版本),我们要做的就是从Github克隆它并在我们的(x86)机器上编译它。编译之后,Karta可以生成一个描述该库的规范的.json配置文件。使用此配置,即使固件已编译为Big-Endian ARM Thumb模式,我们的插件现在也可以成功地在固件中找到该库。

Karta由模块组成,IDA反汇编器模块可以用任何其他反汇编模块代替。

寻找 1 day
虽然我们描述了插件的几个使用案例,但在流行软件中寻找1day可能是最有趣的。这是我们研究的两个现实的例子。

HP OfficeJet固件
在我们的FAX研究过程中,我们需要1天的时间才能用作调试漏洞。最终,我们使用了Devil’s Ivy。在完成Karta的开发之后,就该回到固件并检查Karta如何帮助我们进行研究了。

Karta的返回结果显示固件中使用的开源库是:

  • libpng: 1.2.29
  • zlib: 1.2.3
  • OpenSSL: 1.0.1.j
  • mDNSResponder: unknown
  • gSOAP: 2.7
    在这里我们可以看到确实使用了gSOAP,并且快速的CVE搜索表明它包含一个关键漏洞:CVE-2017-9765(Devil’s Ivy)。

在为该版本的gSOAP快速编译配置后,我们运行了匹配器并导入了匹配的符号。在这里我们可以看到Karta匹配了易受攻击的代码函数soap_get_pi:

在这里插入图片描述

图1:反编译的soap_get_pi函数,与插件匹配。

对于我们的插件来说,这是个好消息:它可以在实际情况下按预期工作。

普通的闭源软件– TeamViewer
在固件中轻松找到1day很方便,但是我们在Windows PC上使用的日常程序又如何呢?在阅读Project Zero在WebRTC上的博客文章时,我们看到他们在一个名为libvpx的库中发现了一个漏洞:

CVE-2018-6155 在称为VP8的视频编解码器中可以免费使用。有趣的是,由于它会影响VP8库libvpx而不是WebRTC中的代码,因此它有可能影响使用WebRTC之外的使用该库的软件。由于此错误,发布了针对libvpx的通用修复程序。

这看起来很有趣,因为Project Zero特别指出此漏洞“具有影响使用WebRTC以外的其他功能使用该库的软件的潜力。” 我们已经在计算机上安装了TeamViewer,听起来应该使用相同的开源库,让我们检查一下。

我们在IDA中打开了TeamViewer.exe,并在进行分析的同时开始工作。我们下载了最新版本的libvpx(1.7.0),为其编写了一个简单的标识符,并将其添加到Karta。由于我们等不及IDA完成分析,因此我们停止了分析并运行Karta的标识符插件。确定的开源是:

  • zlib: 1.2.5
  • mDNSResponder: unknown
  • libjpeg: 8b
  • libvpx: 1.6.1
    TeamViewer不仅使用libvpx,而且使用的是2017年1月以来的旧版本。

查看Google发行的补丁,我们知道我们感兴趣的函数是vp8_deblock,如下所示:

在这里插入图片描述

图2: vp8_deblock函数的代码片段,容易受到CVE-2018-6155的攻击

我们让IDA恢复分析,并着手为libvpx版本1.6.1编译Karta配置。准备好配置后࿰

最低0.47元/天 解锁文章
反汇编工具IDA使用详解(使用IDA查看二进制文件的汇编代码以及使用IDA分析崩溃问题实例分享)
dvlinker的技术专栏
10-07 5万+
本文详细介绍一下IDA反汇编工具,介绍如何使用IDA反汇编工具查看二进制文件的汇编代码,并分享一个使用IDA排查程序崩溃的实例。
KartaIDA源代码辅助插件
weixin_43977912的博客
11-30 2619
关于Karta Karta是一款功能强大的IDA Python插件,该工具可以识别并匹配给定代码源代码库。该插件使用了一种独特的技术,使其能够支持大型二进制文件(>200000个函数),而同时几乎不会影响整体性能。 Karta所使用的匹配算法是位置驱动的,这意味着它的主要焦点是定位不同的编译文件,并根据文件的原始顺序匹配每个文件的函数。这种匹配方式依赖于源函数的数量K,而不是二进制文件的大小N,因此可以实现显著的性能提升。 使用场景 我们认为Karta这个IDA插件有三大使用场景: 搜索目标
IDA源码分析工具
02-06
IDA源码分析工具
探索二进制差异的艺术:Diaphora,你的程序比对神器
最新发布
gitblog_00661的博客
08-08 494
探索二进制差异的艺术:Diaphora,你的程序比对神器 diaphoraDiaphora, the most advanced Free and Open Source program diffing tool.项目地址:https://gitcode.com/gh_mirrors/di/diaphora Diaphora,这个名字源自古希腊语“διαφορά”,意为“差异”,是一种革命性的二...
IDEA查看源码
weixin_40909099的博客
09-11 1万+
首先打IDEA,双击shift,查找想要查询的类 在源码查找方法快捷键Ctrl+F12 如果想要查看方法细节可以按住Ctrl点击方法 若果想要回到原来位置Ctrl+alt+方向左键...
IDA.Pro代码破解揭秘 源代码 示例
11-04
IDA.Pro代码破解揭秘 书的所有样例。程序。源代码。 好不容易找到的。收5币
源代码检测
Carl_Shawshank的博客
06-20 2002
什么是源代码检测? 源软件是提高生产力和软件质量的关键因素,正确的使用源软件,可以提高产品的竞争力,但是在产品功能不断更新、发周期不断缩短的压力下,很多公司难以有效的对代码源软件进行有效的识别和管理。而失去管理的源软件可能会带来多种风险。 ...
使用idea查看源码
zhang__1234的博客
01-30 6572
使用idea查看源码 以查看包装类Integer为例 第一种方法: 选Integer(你要查看源码的目标)然后ctrl+b进入 第二种方法: 设计断点,点击那个红色标记查看源码 第三种方法: 点击左下角的Structure找到Integer即可 ...
IDA Pro——逆向工程,二进制分析必备软件
02-12
交互式反汇编器专业版...IDA Pro已经成为事实上的分析敌意代码的标准并让其自身迅速成为攻击研究领域的重要工具。它支持数十种CPU指令集其包括Intel x86,x64,MIPS,PowerPC,ARM,Z80,68000,c8051等等。
使用反汇编工具IDA查看发生异常的汇编代码的上下文去辅助分析C++软件异常
dvlinker的技术专栏
08-08 3万+
详细讲述如何使用IDA查看发生异常的汇编代码的上下文,去辅助分析C++软件异常。
查看代码的辅助方法
madong369的博客
12-28 1383
辅助查看代码的操作
【Tech-so】So文件静态分析Step by Step(一) --------入门,利用IDA pro查看代码
进击中的Park哥
11-24 4453
之前搞腾了两个月的Cocos-Lua , 主要是把java的代码导出去给于Lua项目组调用,过程那个叫苦呀,其实到最后才发现,那是一个很简单的原理。 因为之前提及过,Lua与Java的互调要使用间层C/C++来衔接,所以过程也接触了一版的C/C++的代码,也了解了一下其静态库与动态库的链接。 由于间层主要是使用NDK来编写,编写是没有问题的,毕竟无论是Eclipse还是A
IDA-辅助工具Karta简单使用教程
darui_csdn的博客
05-12 997
IDA-辅助工具Karta简单使用教程介绍安装使用测试摸索参考文章 笔者在研究如何对目标系统,进行属性特征信息提取时,大佬指点到本工具,简单研究一下。 介绍 “ Karta”是IDA的python插件,其功能是在已经编译过的二进制文件搜索是否使用了源的代码。该插件是为了匹配大体积二进制文件源代码库的源代码(通常是查找固件)。对于每天处理固件的人来说,反复的执行net-snmp显然是在浪费时间。所以需要一个工具来识别二进制文件所使用的源,并在IDA自动匹配。 这个插件的初衷是加快匹配的过程。
源代码恢复:使用IDA Pro反汇编obj文件
iMatt的专栏
06-11 2608
有时候系统或环境出错导致代码丢失或恶意篡改,如果这发生在提交源代码管理之前,那么只能自己恢复了。 打IDAPro.
ida pro 查看简易 Android .so 文件伪代码
vistaup的博客
03-12 721
当然,这个是最简单的so的结构,稍微复杂点的可能就搜索不到JAVA,后面再来填坑。注意,这篇只是我的简单记录,要学习详细使用,请参考其他大佬的。在函数窗口按 Ctrl + F 搜索 “JAVA” ,双击结果。点击 F5 ,借助F5 插件查看伪代码。直接把需要的文件拖到 IDA 。让我们打神器 IDA
ida不错的插件记录
weixin_30687051的博客
08-07 306
IDASkins 地址 https://github.com/zyantific/IDASkins 作用 ida黑色皮肤插件 IDAFuzzy 地址 https://github.com/Ga-ryo/IDAFuzzy 作用 全局模糊查询,可以方便找到想用的功能 dwarfexport 地址 https://github.com/ALSchwalm/dwarfexport 作用 导出 ida 的类...
Android IDA So的动态调试大法
热门推荐
雪一梦的博客
10-05 3万+
今天已是国庆的第五天,白天去武馆训练过后,晚上回来品一杯西湖龙井,更一篇博客,一来帮助需要之人,二来加深自己的理解。 下面就说关于在IDAAndroid so的动态调试的问题以及在so的三个层次下断点的操作。 问题篇: 1.动态调试的作用以及与我们常说的脱壳区别之处? 2.IDA的下断点调试的原理? 3.有无反调试的步骤区别?以及原理? 4.反调试与反附加的区别? 5.I...
IDEA查看Java源码的几种方式
weixin_53520295的博客
06-12 1230
IDEA查看Java源码的几种方式,感兴趣的了解一下
Windows安装docker 怎么自定义安装目录
08-11
### 回答1: 要在 Windows 上自定义 Docker 的安装目录,您可以按照以下步骤进行操作: 1. 打 Docker 官网并下载适用于 Windows 的 Docker 安装程序。 2. 运行安装程序并选择“自定义”选项。 3. 在“选择组件”页面上,取消选择“Docker Desktop”和“Windows 操作系统”。然后,单击“浏览”按钮并选择您要安装 Docker 的目录。 4. 继续进行安装,直到完成。 安装完成后,您可以使用命令行或者 Docker Desktop 来管理 Docker。希望这个回答能够帮助您解决问题! ### 回答2: 在Windows上安装Docker时,默认情况下会将Docker安装到系统盘的"C:\Program Files"目录下。如果你想自定义安装目录,可以按照以下步骤进行操作: 1. 在Docker官方网站上下载最新版本的Docker Desktop安装程序,双击运行该安装程序。 2. 在安装向导的"选择安装类型"页面,点击"自定义安装(Advanced)"选项。 3. 在下个页面,你可以看到"选择目标位置"选项,点击"浏览"按钮。 4. 在弹出的文件夹选择窗口,浏览并选择你希望安装Docker的自定义目录位置。 5. 选择完毕后,点击"确定"按钮。 6. 返回到安装向导页面,可选择是否将Docker图像放置在Windows系统盘上的"C:\ProgramData\Docker"目录下。如果希望修改该路径,可以点击"点击修改"链接选择新的目录。 7. 点击"安装"按钮始安装Docker。 8. 安装完成后,按照向导提示设置Docker的其他选项,例如启用Hyper-V和WSL 2引擎等。 经过以上步骤,你就可以将Docker安装到你所自定义的目录位置了。请注意,自定义安装目录可能会导致某些Docker特性或功能的不正常工作,因此谨慎选择。 ### 回答3: 在Windows上安装Docker时,默认情况下安装目录是在C盘的Program Files文件夹下。如果你希望自定义安装目录,可以按照以下步骤进行操作: 1. 首先,下载Docker的安装程序。你可以访问Docker官方网站(https://www.docker.com/products/docker-desktop)或其他可靠来源下载适用于Windows的Docker安装程序。 2. 运行安装程序。双击下载好的Docker安装程序,然后按照提示完成安装程序的运行。 3. 在安装程序的安装类型(Type of installation)页面上,选择自定义(Custom)安装。 4. 在自定义安装页面上,可以看到一个"Change"按钮,点击它。 5. 然后,选择你想要安装Docker的目录。你可以选择一个已存在的文件夹,或者创建一个新的文件夹作为安装目录。 6. 选择完安装目录后,点击“OK”按钮确认。 7. 返回到自定义安装页面,点击“Next”继续。 8. 接下来,按照安装程序的提示完成安装过程即可。 通过以上步骤,你就可以成功自定义Windows上Docker的安装目录。需要注意的是,安装Docker时请确保目标安装目录具有足够的可用空间,并且你具有足够的权限进行创建或更改目录。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值