ida 插件怎么安装_使用Qiling IDA插件解密Mirai病毒数据

最新推荐文章于 2024-08-08 07:53:42 发布
最新推荐文章于 2024-08-08 07:53:42 发布
阅读量2.3k 收藏
点赞数
文章标签: ida 插件怎么安装
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_31061699/article/details/113079128
版权
本文介绍了如何利用Qiling IDA插件进行二进制文件的动态分析,特别是在解密Mirai病毒样本中的应用。Qiling Framework提供了一个模拟多OS和架构的平台,支持在IDA中直接进行动态调试和反编译。通过编写自定义脚本,可以实现对加密字符串的解密,展示了Qiling IDA插件的强大功能。
摘要由CSDN通过智能技术生成

介绍

Qiling Framework 基于Unicorn,能够在一个平台上模拟多个OS和架构的二进制文件,包括Linux、MacOS、Windows、FreeBSD、DOS、UEFI和MBR。它支持x86(16、32和64位)、ARM、ARM64和MIPS。因此,我们几乎不需要担心因为环境搭建困难及手头设备不足导致无法进行分析工作,尤其像基于ARM或MIPS的IoT固件,想要进行逆向分析和漏洞挖掘尤其不易。

在澪同学的文章用麒麟框架深入分析实模式二进制文件中提到了Qiling能够进行gdb远程调试,这实际上是我为Qiling所贡献的第一个功能。将调试能力赋予Qiling,我们就能够在完全可控的环境中对二进制文件进行动态分析,不必担心病毒样本对主机造成影响,能够绕过检测,甚至能够只执行其中的一部分。

但这样的调试还不够优雅,在这里我想要为大家介绍的是Qiling调试功能的全新模块:Qiling IDA插件。与当今最强大的反编译器结合,我们可以做很多很棒的事。不需要IDA remote server和虚拟机就能够轻松地在IDA上进行动态调试和反编译,实时查看寄存器,堆栈和内存,绘制代码的执行路径等。此外,结合自定义脚本,我们能够使用Qiling提供的全部功能。我们还有更高级的功能:自动分析并反ollvm控制流平坦化,这将在今后进行单独介绍。

文章同步发表于我的Blog

K's House​kabeor.cn
30b6136cc94ebd29e9e0d0dbbf60ffb5.png

安装

安装Qiling

Qiling的安装方式在这里,由于Qiling更新速度较快,想要获取最新版本请

git clone https://github.com/qilingframework/qiling/tree/dev

注意 请将Qiling安装在IDA所使用的Python3环境内。

安装插件

插件的安装方式有两种

  1. 作为一个IDA插件

只需要建立一个Qiling插件与IDA plugin目录的符号链接。

# Linux    ln -s /absolute/path/to/qiling/extensions/idaplugin/qilingida.py /path/to/your/ida/plugins/
# Macos    ln -s /absolute/path/to/qiling/extensions/idaplugin/qilingida.py /Applications//ida.app/Contents/MacOS/plugins/
# Windows    mklink C:absolutepathtoIDApluginsqilingida.py D:absolutepathtoqilingextensionsidapluginqilingida.py

IDA在启动时会自动加载Qiling插件。

  1. 作为一个脚本文件

运行IDA,点击File/Script file...,定位插件所在位置(也可以在此处下载最新版本),选择qilingida.py即可。

加载脚本后可以在Edit->Plugins->Qiling Emulator和右键菜单找到按钮。

插件的具体用法请访问

IDAPro Plugin - Qiling Framework Documentation​docs.qiling.io
最低0.47元/天 解锁文章
莫魔墨
关注
Windows7 64bit安装IDA pro 7.0插件整理
LoopherBear的博客
05-21 2002
Windows7 64bit安装IDA pro 7.0插件整理 对于常用的逆向工具ida,很多时候使用插件能加速分析的速度,例如一些算法的标识,两个样本存在的关联性,yara的使用等,这个笔记是整理一些在日常分析中使用插件安装过程和使用的方法,虽然比较简单,入门基本够用了。 FindCrypt3 标识一些常用算法的插件,地址(https://github.com/polymorf/findcrypt-yara) 安装 安装python2.7.11 安装idasdk7.0到ida安装目录 将sdk复制到安
ida 插件安装_使用Qiling IDA插件解密Mirai病毒数据
weixin_39575850的博客
12-01 625
介绍Qiling Framework 基于Unicorn,能够在一个平台上模拟多个OS和架构的二进制文件,包括Linux、MacOS、Windows、FreeBSD、DOS、UEFI和MBR。它支持x86(16、32和64位)、ARM、ARM64和MIPS。因此,我们几乎不需要担心因为环境搭建困难及手头设备不足导致无法进行分析工作,尤其像基于ARM或MIPS的IoT固件,想要进行逆向分析和漏洞挖掘...
IDA7.0_SP 插件安装使用教程
最新发布
gitblog_00719的博客
08-08 342
IDA7.0_SP 插件安装使用教程 IDA7.0_SPIDA7.0_SP is ida's bugfix项目地址:https://gitcode.com/gh_mirrors/id/IDA7.0_SP 1. 项目介绍 IDA7.0_SP 是一个针对IDA Pro 7.0的开源增强插件,致力于提供更强大和高效的反汇编及调试工具。对于软件安全研究人员、逆向工程师和开发者来说,它是一款不可或缺的辅...
IDA安装keypatch插件
Armey的博客
06-19 6613
IDA安装keypatch插件
IDA安装mips插件和脚本以及IDA的动态调试
jiuweideqixu的博客
11-10 4035
需要安装python2.7 python2.7是ida插件得以运行的必要条件。如果是使用wine安装ida,那么使用wine安装python2.7,可以点击参考。 下载mips插件和脚本 git clone https://github.com/devttys0/ida.git 将下载下来的ida/plugins目录下的所有.py格式的文件拷贝到IDA根目录下的plugins目录。 将ida...
IDA_ARM_Unwind:IDA插件,调试手臂时展开堆栈跟踪
04-14
使用 IDA 调试 arm 调试时,打印实时的栈回溯。 IDA 的菜单栏有一处功能:Debugger -> Debugger windows -> Stack trace (Ctrl + Alt + S),在调试 x86、x64、arm64 的程序时它的功能是正常的,在调试 arm 程序时它...
ida_medigate:Medigate插件,用于C ++逆向工程和其他实用程序
05-10
ida_medigate IDA Pro的C ++插件 [目录] 动机和背景 对已编译的C ++代码进行反向工程并不好玩。 编译后的C ++代码的静态反向工程令人沮丧。 使其如此困难的主要原因是虚函数。 与已编译的C代码相反,没有清晰的代码...
IDAExample.rar_IDA OPENSEES_OPENSEES_ida_matlab_opensees sdof
07-13
ida example for opensees
IDA.rar_IDA的_ida_汇编_逆向_閫嗗悜
09-19
在“IDA.rar_IDA的_ida_汇编_逆向_閫嗗悜”这个压缩包中,包含了一份“IDA简易教程.mht”和“www.pudn.com.txt”两个文件,它们提供了关于IDA的基础使用和相关知识的介绍。 **IDA简易教程.mht** 这份教程可能涵盖...
IDAPRO.rar_IDA Pro_ida_idapro_ida中文版_vc IDA Pro
09-14
IDA PRO中文版本帮助手册,喜欢IDA的朋友不要错过。
ida7.0插件Python_editor全部安装
01-02
下载安装包覆盖指定文件 删除IDA 7.0目录\python\sip.pyd 删除IDA 7.0目录\python\PyQt5目录 比如你的python安装目录是C:\python27-x64 添加环境变量 PYTHONHOME=C:\python27-x64 QT_QPA_PLATFORM_PLUGIN_PATH=C:\python27-x64\Lib\site-packages\PyQt5\plugins\platforms 修改IDA 7.0目录\plugins\plugins.cfg ``` ;Python_editor Python_editor 0 0 ; Python_editor ```
ida插件1(共三个文件)
12-24
IDA获奖插件合集,2009年到2018年共10届IDA插件竞赛获奖ida插件合集,共分3个压缩文件,下载到同一个文件夹后解压。
heap-viewer:一个IDA Pro插件,用于检查glibc堆,专注于漏洞利用开发
04-13
堆查看器 一个IDA Pro插件,用于检查堆,侧重于漏洞利用开发。 当前支持glibc malloc实现(ptmalloc2)。 要求 IDA Pro> = 7.0 经过测试 glibc 2.23 <= 2.29(x86,x64) 特征 堆跟踪器(malloc / free / calloc / realloc) 检测重叠和双重释放 使用可视化 Malloc块信息 块编辑器 多区域信息(块,顶部,末尾) 垃圾桶信息(fastbins,unsortedbin,smallbins y largebins) Tcache信息(glibc> = 2.26) GraphView的链表(bins / tcache) 结构视图(malloc_state / malloc_par / tcache_perthread) 魔术工具: 取消链接合并信息 释放/合并信息 假Fastbin查找器
ida_pro7.7加载不出插件
yuliana的博客
04-22 742
目前使用ida版本是7.7绿色版,看介绍有很多插件可以使用,掏出ida想要把玩一下。当我右键发现并没有找打插件选项,直接学习结束!按照上图所说,用方案一,可能我太菜了,有些依赖一直安装不上,比如unicorn。运行idapyswitch.exe,选了一个3.10版本。最近在学习ida,发现出门就碰壁。开始愉快的pip install。不错,该有的都有了。安装上去了,进入ida右键看看。索性,换个python版本。
ida 安装插件_为IDA命令行模式增加宏支持功能的插件
weixin_39863017的博客
12-01 747
介绍什么是climacros?CLI宏是一种生产力工具,可让您在IDA的命令行界面(Python,IDC,WinDbg,BochDbg,Gdb等)中定义和使用静态或动态宏。用法安装后,climacros始终处于活动状态。它带有一组预定的宏要创建或编辑新宏,只需从“快速插件视图”窗口(Ctrl-3)调用宏编辑器。静态宏静态宏在CLI中按原样替换。例如以下宏:执行时输出以下内容:动态宏可以定...
ida 安装插件_Ponce:一键即可实现符号执行(IDA插件
weixin_39827304的博客
11-21 1107
Ponce是一款IDA Pro插件,该工具采用C/C++开发,它可以帮助用户以一种快速简洁的方式对目标代码进行污点测试以及符号执行。用户只需点一下鼠标或者按一下键盘,剩下的就可以交给Ponce了。在安全社区,符号执行已经不是什么新概念了。自从Triton和Angr等开源项目诞生之后,符号执行更是“风靡”整个安全圈。为了帮助研究人员解决特殊的使用场景,我们专门开发了这款IDA插件,推荐反编...
IDA写个小插件
二进制科学的博客
09-06 5862
找函数尾巴arm64汇编批量nop我们来看一个最简单的插件在代码的注释中我们看到,当插件注入的时候,在插件被调用、卸载ida去触发一些方法,从而来控制整个流程。
IDA插件开发完全指南
2. IDA SDK全局组织中,包括了SDK的安装方法、目录结构、头文件介绍和使用方式。开发者需要熟悉这些内容以便于编写和编译插件。例如,`idaapi.h`是主要的头文件,包含了大部分与IDA交互的函数和类定义。 3. 配置...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值