IDA PRO 2018年 插件大赛作品目录

1.ActionScript 3

ActionScript 3是：

...一个ActionScript 3处理器模块和Flash调试器插件。
IDA作者的意见：

卡巴斯基实验室的Boris Larin的提交实际上由三个文件构成的一个完成的处理器模块：加载器，处理器模块和调试器助手插件。

它有助于分析和调试Adobe Flash文件。虽然Flash计划在2020停止更新，但它仍然是受欢迎的攻击目标，并且仍然适用于大多数浏览器。

虽然在2009年（我们的第一次竞赛中）有人提交了Adobe Flash反汇编程序！但该插件仅支持ActionScript2，并且尚未移植到IDA 7.0，这限制了它的可用性。

Boris的新加载器/处理器模块支持当前更为常见的ActionScript3脚本语言，并且可以自动加载以前需要手动解压缩的文件（CWS签名）。此外，作品中还有一个调试器助手插件，允许用户从字节码方法调试Flash运行时生成的JITted *本机代码*，并且还可以使用原始字节码添加注释，以便于理解。此插件对于分析恶意软件中的Flash漏洞的任何人都非常有用。鲍里斯令人印象深刻的作品！

2.HeapViewer  --三等奖获得者

HeapViewer是：

...一个IDA Pro插件，用于检查堆（glibc malloc实现），专注于漏洞开发利用。
IDA作者的意见：

HeapViewer是一个插件，用于检查在Linux下运行的进程堆，特别是glibc的堆管理实现。

对于漏洞利用来说，它是一个很好的工具，同时也是学习glibc如何进行堆管理的好工具。

该插件提供了glibc用于管理堆的结构的有组织且深入的视图。 在CTF比赛中，HeapViewer看起来是一个很棒的工具。

它与IDA的调试API很好地集成，以实现与内存相关的函数的跟踪器。

HeapViewer专注于漏洞利用开发，但可以扩展以提供更多与内存相关的分析功能。

3.Deobfuscating Decompiler Plugin--二等奖获得者

反混淆反编译器插件是：

...一个Hex-Rays微码API插件用于反编译某一类恶意软件的反混淆插件。 该插件是全自动的，无需用户干预; 在安装之后，呈现给用户的反编译文本将没有混淆。

IDA作者的意见：

HexRaysDeob不是一个大插件，不到4000行C ++代码，但它执行一个非常复杂的任务来处理严重混淆的代码。 它使用反编译器的微代码API来自动检测混淆函数，删除花指令，以及取消乱序膨胀代码。

虽然在当前条件下，插件只能处理一个特定的恶意软件，但可以相对容易地推广到检测类似的混淆技术并将其删除。 通常，它会检测用于人为压扁控制流的开关和循环：

清理之后的样子:

该插件对所有对微码API感兴趣的人都非常有用，因为它包含充分的注释。

4.Hyara 

Hyara是：

...一个用于创建模式匹配规则的插件。
我们的意见：

Hyara是由Yi Hyun和Kwak Kyoung-ju创建的插件。

它有助于在IDA中直接创建YARA模式匹配工具的规则。 它包括在x86操作码中简单检测可重定位字节以改进匹配。 它还提供了一个检查器功能，用于测试加载的二进制文件的规则。

5.IDAFuzzy 

IDAFuzzy是：

... IDA Pro的模糊搜索工具。 此工具可帮助您查找命令/函数/结构等。 该工具的灵感来自Mac的Spotlight和Intellij的Search Everywhere对话框。
我们的意见：

该工具很简单，可以像描述的那样工作。 这种全局搜索功能越来越多地在各种软件中实现，而这个插件使得可以在IDA中进行全局搜索。 有坚实的基础，插件已经有用和可用，特别是因为它可以用键盘操作。 尽管如此，仍有改进的余地。

6.IDA-Minsc --二等奖获得者

 

IDA-Minsc是：

... IDA Pro的插件，用于协助用户编写与反汇编程序捆绑在一起的IDAPython插件。该插件将IDAPython API的不同方面分组为一种更简单的格式，允许逆向工程师以极少的投资编写工作的不同方面。
我们的意见：

IDA-Minsc是一个很棒的Python插件，Python狂热者会喜欢它！首先，因为它是用Python编写的，其次，它使许多事物比起初更多的Pythonic。 IDA最初暴露了类似API的C ++，这对于日常黑客来说太过冗长和繁琐。 IDA-Minsc推出了非常简短的功能和类，以克服这个缺点，它看起来很整洁！例如，而不是写作

idaapi.is_code(idaapi.get_flags(here()))
你只是写
is_code()
它会方便地使用一些合理的默认值。

它还引入了“标签”，可用于在数据库中存储和检索任意信息作为注释。用户可以使用各种标签来标记功能的子集并对其执行操作。顺便说一下，由于此功能，所有评论都可以搜索到。可以把它想象成idb中的一个小数据库，在函数和指令注释之上实现。

该插件附带了大量文档并提供了教程。它是一个成熟的插件，在日常工作中很有用。我们喜欢这个插件，安装非常简单，绝对可以让用户的生活更轻松。

7.IDArling --一等奖获得者

 

IDArling是：

... IDA Pro和Hex-Rays的协同逆向工程插件。
我们的意见：

一方面，这是解决多个用户在同一数据库上工作的问题的又一次尝试。另一方面，如果正确部署和使用，此插件确实非常有用。由于IDA的体系结构，很难保持所有数据库副本同步：

总有办法在不生成事件的情况下修改数据库。在这种情况下，IDA的其他副本将不会被告知有关更改。
不同的第三方插件集（或其配置）可能会导致数据库内容的差异。
IDA和同步插件中的编程错误可能会导致不一致。
最后，分析队列可能会干扰同步插件并导致失步。
尽管如此，有了一些规则，使用像IDArling这样的插件仍然可以进行多用户工作。比如说，介绍以下用户策略：IDA的一个副本表示为main（我可以说是“master”？）副本，只有IDA的这个副本才能将数据库保存到服务器。其他用户的工作不会丢失，因为他们的更改会立即复制到主IDA。

我们喜欢插件的工作方式。它显示导航频段和反汇编中其他用户的当前地址。这有助于用户了解其他用户的位置并组织他们的工作以避免冲突（例如，避免同时重命名相同的功能）。

由于这是插件的0.0.1版本，因此存在许多缺点，但希望随着时间的推移它们将被修复。即使在当前状态下，插件也很有用。

https://hex-rays.com/contests/2018/idarling/video.m4v

8.NIOS2 

NIOS2是：

...用于Altera Nios II Classic / Gen2微处理器架构的IDA Pro处理器模块。
我们的意见：

Anton Dorfman的NIOS II处理器模块插件完全符合您的预期。

该插件采用Python编写，为NIOS II Altera软核实现了完整的处理器模块，包括伪指令简化，堆栈变量，相对于全局指针的偏移，自定义指令，交叉引用，开关检测以及许多其他功能。

代码写得很好，如果你的软核包含额外的自定义指令，可以很容易地修改。

用法非常简单。 只需将文件复制到“procs /”目录，然后在文件加载对话框中选择“Altera Nios II Classic / Gen2 Processor”。 IDA的ELF加载程序没有实现此机器的特性（例如重定位），但如果选择了处理器模块，它仍然可以加载文件。

这个插件对于使用Altera FPGA的人来说非常有用。 也许现在也可以编写NIOS II调试器。

9.Oregami 

Oregami是：

...一个分析当前函数的插件，用于查找寄存器的使用框架。
我们的意见：

当跟踪函数内寄存器的使用时，Oregami通过将搜索限制为与当前突出显示的事件而不是整个函数相关的事件来简化工作。 它为PPC和ARM处理器提供处理程序（设计模块化，足以实现其他处理），而更通用的例程处理其他CPU类型，但结果不佳。 该模块采用的方法非常简单，在某些复杂情况下可能会失败。