IDA密码算法自动化识别插件、脚本汇总

已于 2022-03-09 07:52:18 修改
阅读量4.7k 收藏 15
点赞数
分类专栏: 软件逆向 文章标签: 逆向 ida 密码算法识别 密码算法
于 2022-03-08 10:02:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shadow20080578/article/details/123345869
版权

在逆向过程中,自动识别文件中存在的密码算法。原理上只有两条路

1、密码算法中的常量特征(常数、s盒等);

2、特定加密库的独有特征(字符串、指令流等)。

现有工具特点:

1、大多都是根据密码算法的常量特征进行识别,很少包含特定加密库的特征。

2、都是以反汇编工具(IDA/Ghidra)的插件、脚本形式存在。

3、都是基于静态分析,也就是只能识别静态特征。如果特征在运行时动态生成,则无能为力。

findcrypt系列

FindCrypt和FindCrypt2

最初的基础,2006年hex-rays的Ilfak发布。

77个特征,在源码的consts.cpp中,不方便修改,重新编译后才生效。

FindCrypt2使FindCrypt试用大端程序。

FindCrypt – Hex Rays

FindCrypt2 – Hex Rays

findcrypt3

HexRays 的 Ilfak 基于 findcrypt1 和 findcrypt2 开发的。

566个特征。特征库在源码中,不方便修改,重新编译后才生效。

https://github.com/HongThatCong/FindCrypt3

idapython_tools_findcrypt

使用python对findcrypt/findcrypt2的重现。

ida6.8-7.5均运行错误。作者只说了mac上7.x测试通过,具体版本没说。python版本也没说。

https://github.com/you0708/ida/tree/master/idapython_tools/findcrypt

FindCrypt - Ghidra

用java移植的findcrypt。

在findcrypt的77个特征库基础上增加到122个,位于database.d3v文件。格式未知,不好扩展。

https://github.com/d3v1l401/FindCrypt-Ghidra

Ghidra FindCrypt

说是对FindCrypt - Ghidra的重开发,但是比较两者对同一文件的扫描结果。没有FindCrypt - Ghidra扫出来的多。效果不好。

更好地呈现搜索的结果。会进行重命名并增加注释。

只支持9.2以后版本Ghidra。

https://github.com/TorgoTorgo/ghidra-findcrypt

Signsrch系列

IDA Signsrch

dll版本插件,最新2018年发布,只支持到ida7.1。

特征库xml形式。2279条特征。方便扩展。

特征库还包括其它一些字符串,如“IsDebuggerPresent”

GitHub - nihilus/IDA_Signsrch: IDA Signsrch

IDASignsrch

python版本插件,支持最新ida。

特征库真包含IDA Signsrch,多18个特征。

https://github.com/l4ys/idasignsrch

findcrypt-yara系列

findcrypt-yara

python插件。

需要给python安装yara,pip安装yara-python而不是yara,不然不兼容。

ida7.5支持。

特征库为yara,129条,方便扩展。

GitHub - polymorf/findcrypt-yara: IDA pro plugin to find crypto constants (and more)

总结

综上,推荐大家使用三个工具:

  • findcrypt-yara
  • IDASignsrch
  • findcrypt3

最好是这三个工具都用一遍,虽然功能上有重合,但也各有特色,运行时间也都不太长。

———————————————————————————————————————————

欢迎关注我的微博:大雄_RE。专注软件逆向,分享最新的好文章、好工具,追踪行业大佬的研究成果。

大雄_RE
关注
  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[车联网安全自学篇] Android安全之常用逆向工具汇总
橙留香Park的博客
03-14 6149
博主同学不定期更新工具集,敬请期待… …
推荐开源项目:RetDec IDA 插件
最新发布
gitblog_00098的博客
05-17 296
推荐开源项目:RetDec IDA 插件 项目地址:https://gitcode.com/avast/retdec-idaplugin 在逆向工程和软件安全研究的领域中,IDAP(Interactive Disassembler Pro)无疑是一款强大的工具,而如今有了RetDec IDA插件,你的逆向分析能力将更上一层楼。 项目介绍 RetDec IDA插件是由Avast开发的一款免费插件,旨...
IDA c++分析c++类结构辅助插件ida_medigate使用记录
qq_36535153的博客
07-03 1702
插件使用 设置继承方面有时候会导致IDA崩溃 没法恢复成跟作者demo一模一样的情况。
[IDA Plugin] IDA插件收集
志伟入归未有时(兴业和家)
08-31 8550
英语好的,看这里:https://github.com/onethawt/idaplugins-list随着时间的推移,我将组织插件。如果您有任何其他优秀的插件,请提交PR。我想用相应的IDA版本标记每个插件,但是我需要很长时间才能测试。如果你能帮到那里,请做。如果一个插件只是一个没有描述或文档的源代码,我不会添加它。去做 添加更多插件 分类插件 插件 3DSX Loader:用于3DSX文...
IDA基本使用
热门推荐
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
12-19 2万+
IDA基本使用,零基础,新手友好,重点使用摘要。ida文件加载,IDA桌面简介,交叉引用,IDA动态调试,IDA脚本
IDA7.5安装findcrypt3插件
re1wn
01-15 9685
IDA7.5安装findcrypt3插件
IDA密码算法匹配插件findcrypt2升级指南
03-15
IDA密码算法匹配插件findcrypt2升级指南,IDA Proidb findcrypt3
识别c++ RTTI的ida脚本1
08-08
《C++ RTTI识别IDA脚本应用解析》 C++的运行时类型信息(Runtime Type Information,简称RTTI)是一种强大的特性,它允许在程序运行时查询对象的实际类型。在深入探讨RTTI的实现机制之前,我们首先理解RTTI的基本...
每天一个IDA小技巧(十一)IDA脚本基础和IDC1
08-03
IDA(Interactive Disassembler)是一款强大的反汇编器和逆向工程工具,它提供了丰富的脚本功能,允许用户自定义分析流程和自动化任务。本文主要讨论IDA脚本基础,特别是IDC脚本语言。 IDA脚本引擎支持两种语言...
ida-cmake:IDA插件CMake构建脚本
05-10
IDA插件CMake构建脚本 该存储库包含CMake构建脚本和Python帮助程序,无需花费太多用户的精力即可为Windows,macOS和Linux编译C ++ IDA插件。 简单插件示例用法: 创建插件仓库 git init myplugin cd myplugin git ...
ghidra_nodejs:GHIDRA插件,用于解析,反汇编和反编译NodeJS Bytenode(JSC)二进制文件
03-05
ghidra_nodejs 描述 GHIDRA插件,用于解析,反汇编和反编译NodeJS Bytenode(JSC)二进制文件。 支持的NodeJS版本: v8.16.0(x64)(V8版本:6.2.414.77) v8.16.0(x86)(V8版本:6.2.414.77) 制作说明 克隆仓库 使用安装的GhidraDev插件将仓库导入Eclipse 将Ghidra链接到您的Ghidra的安装(项目上下文菜单中的选项) 使用项目的上下文菜单导出和构建插件。 Eclipse将使用插件生成一个生成的.zip归档文件。 在Ghidra中:File-> Install Extensions ...->按绿色(Plus / +)按钮,然后选择以前生成的.zip存档进行安装。 按“确定”,然后按“重新启动Ghidra”。 拖放jsc文件。
gotools:Ghidra插件可帮助反转Golang二进制文件
04-30
前往Ghidra的外挂程式 插件可帮助使用Ghidra逆转Golang二进制文件。 这是一个非常早期的阶段,目前仅处理linux / x86_64二进制文件。 安装 适用于您的Ghidra版本的版本 将ZIP复制到$GHIDRA_DIR/Extensions/Ghidra/ 启动Ghidra,依次选择“ File > Install Extensions ,然后选中gotools旁边的框 重新启动Ghidra 用法 导入时,选择语言x86:LE:64:golang:default 特征 恢复功能名称 恢复参数数量和返回类型 开发者 代码格式为 clang-format -i -style=Google src/main/java/gotools/*.java 参考
ida插件1(共三个文件)
12-24
IDA获奖插件合集,2009年到2018年共10届IDA插件竞赛获奖ida插件合集,共分3个压缩文件,下载到同一个文件夹后解压。
ghidra_scripts:Ghidra软件逆向工程套件的脚本
02-21
ghidra_scripts Ghidra软件逆向工程套件的脚本。 安装 在Ghidra脚本管理器中,单击工具栏中的“脚本目录”图标,然后将检出的存储库添加为路径。 该集合中的脚本将显示在“ Ghidra Ninja”类别中。 binwalk.py 在当前程序上运行binwalk并将结果标记为书签。 要求binwalk在$PATH 。 yara.py 在加载的程序中自动查找加密常量-可以非常快速地识别加密代码。 使用当前程序中yara-crypto.yar中找到的模式运行yara。 Yara规则是根据GPLv2许可的。 另外,添加了@phoul的SHA256规则。 要求yara在$PATH 。 export_gameboy_rom.py 从使用Gekkio的导入的ROM导出工作ROM。 swift_demangler.py 自动取消swift函数名称的修饰。 对于更复杂的功能
ida分析函数插件ida分析函数插件
10-10
ida分析函数插件
IDA F5 增强插件,还我源代码(一)
qq_44005305的博客
01-10 1244
李老板: 奋飞呀,你就这么结束也太水了吧。这种文章我都不好意思转发,严重影响我大佬的人设。奋飞:老板说的有道理,使用开源工具,不读他的源码是对作者的不尊重。我们先来聊聊 IDA Microcode, 他是一种中间语言,从反汇编出来的汇编代码到F5生成漂亮的C代码,中间要经过多次的Microcode转换。举个例子,生米煮成熟饭(说你呢,别想歪了),在萌新看来,就是大米 biu~~ 一下就成米饭了。
IOT-Reaserch安装ghidra以及IDEA和ghidra的配置
m0_56147044的博客
02-21 1251
IOT-Reasearch小白配置ghidra和IDEA的全过程记录
学习笔记-Ghidra
人饭子的博客
11-02 1208
Ghidra 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 简介 Ghidra 是由美国国家安全局(NSA)研究部门开发的软件逆向工程(SRE)套件,用于支持网络安全任务。包括一套功能齐全的高端软件分析工具,使用户能够在各种平台 (Windows、Mac OS 和 Linux) 分析编译后的代码。功能包括反汇编,汇编,反编译,绘...
IDA*算法算法原理
04-14
IDA*算法是一种启发式搜索算法,它在A*搜索算法的基础上进行优化。IDA*算法采用深度优先思想,通过逐渐增加阈值的方式控制搜索深度。在搜索过程中,每个节点的成本值被估算为到达该节点的路径代价加上该节点到目标节点的估价函数值。该算法通过不断更新阈值,并在每次迭代中进行深度优先搜索,最终得到从起始节点到目标节点的路径。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值