一:前言
虽然静态分析有Radare2,Hopper这种新星之秀,动态调试有Ollydbg,Windbg这种老牌霸主,但是IDA Pro仍然是大部分二进制安全工程师最喜爱的工具,除了价格过于昂贵,基本无懈可击。在笔者眼里,它有下面几个特点是别的工具无法比拟的
1:反编译插件,说它是当今世界最好的反编译器也不为过,这个革命性的插件,极大的降低逆向工程的门槛,也极大的提高了逆向工程师的工作效率。
2:IDA的编程接口,单纯的任何工具无法满足安全工程师的所有使用需求,但是完善的SDK包给了这个工具无限可能,特别在自动批量化处理的方面,如虎添翼。
3:以数据库的形式保存,方便对文件进行任何操作并保存
并不是其它的功能就不优秀了,相反,它的其它功能也很强大,比如FLART功能,等等。这系列文章主要以IDA IDC,SDK编程,IDAPython变成的具体案例为主,插叙IDA的各种奇淫巧技。
二:准备工作
先回答一个问题:
1:为什么用IDAPython,而不是用 IDC或者IDA SDK编程?
IDC可以快速解决一些简单的问题,但是对于复杂的问题,就有点力不从心了。IDA SDK包文档过少,而且在调试相关的API,BUG比较多,使用比较难受,相比于起来,IDAPython可以调用IDC和 IDA SDK包的所有函数,而且文档资料丰富。
当然,之前你需要懂Python,逆向工程,能熟练使用IDA Pro,懂得调试的一些常规知识。再加上一个IDA Pro6.8带IdaPython即可。
三:编写
第一步:先来看一下插件的框架
class myIdaPlugin(plugin_t): flags=0 wanted_name="my ida plugin" wanted_hotkey="Alt+c" comment="my ida plugin" help="Something helpful" def init(self): return PLUGIN_KEEP def term(self): pass def run(self,arg): pass def PLUGIN_ENTRY(): return myIdaPlugin()
其中,flags规定了Ida在不同情况下怎么处理插件,一般为0。
wanted_name为插件名称,comments为插件注释,help为帮助字符串,wanted_hotkey为快捷键,没有则赋为空值。
其中最重要的是那三个函数了,init()函数用于加载你的插件,term()函数用于卸载时的清理活动(释放内存,结束处理,保存状态等等)
第二步:看一下调试框架
from idaapi import * class MyDbgHook(DBG_Hooks): """ Own debug hook class that implementd the callback functions """ def dbg_process_start(self, pid, tid, ea, name, base, size): print("MyDbgHook : Process started, pid=%d tid=%d name=%s" % (pid, tid, name)) def dbg_process_exit(self, pid, tid, ea, code): print("MyDbgHook : Process exited pid=%d tid=%d ea=0x%x code=%d" % (pid, tid, ea, code)) def dbg_library_unload(self, pid, tid, ea, info): print("MyDbgHook : Library unloaded: pid=%d tid=%d ea=0x%x info=%s" % (pid, tid, ea, info)) return 0 def dbg_process_attach(self, pid, tid, ea, name, base, size): print("MyDbgHook : Process attach pid=%d tid=%d ea=0x%x name=%s base=%x size=%x" % (pid, tid, ea, name, base, size)) def dbg_process_detach(self, pid, tid, ea): print("MyDbgHook : Process detached, pid=%d tid=%d ea=0x%x" % (pid, tid, ea)) return 0 def dbg_library_load(self, pid, tid, ea, name, base, size): print "MyDbgHook : Library loaded: pid=%d tid=%d name=%s base=%x" % (pid, tid, name, base) def dbg_bpt(self, tid, ea): print "MyDbgHook : Break point at %s[0x%x] pid=%d" % (GetFunctionName(ea), ea, tid) idaapi.continue_process() return 0 def dbg_suspend_process(self): print "MyDbgHook : Process suspended" def dbg_exception(self, pid, tid, ea, exc_code, exc_can_cont, exc_ea, exc_info): print("MyDbgHook : Exception: pid=%d tid=%d ea=0x%x exc_code=0x%x can_continue=%d exc_ea=0x%x exc_info=%s" % ( pid, tid, ea, exc_code & idaapi.BADADDR, exc_can_cont, exc_ea, exc_info)) return 0 def dbg_trace(self, tid, ea): print("MyDbgHook : Trace tid=%d ea=0x%x" % (tid, ea)) return 0 def dbg_step_into(self): print("MyDbgHook : Step into") self.dbg_step_over() def dbg_run_to(self, pid, tid=0, ea=0): print "MyDbgHook : Runto: tid=%d" % tid idaapi.continue_process() def dbg_step_over(self): print("MyDbgHook : 0x%x %s" % (eip, GetDisasm(eip))) debughook = MyDbgHook() debughook.hook()
这里是调试框架,代码看起来很长,其实,只要在插件框架的init函数进行初始化,即可。然后在调试过程中,会因为各种事件而触发各种函数,从而触发自己需要的操作,实现自动化脱壳或者anti-debug等功能。
第三步:研究实现x64和x32位antii-anti-debug功能
一般anti-anti-debug功能从两方面着手 ,一方面patch内存,一方面是hook函数。
Patch内存:这需要获取FS(x86)/GS(x64)指向的地址,这里提供三种方法,第一种直接使用IDApython提供的API接口
fsBase = regval_t()
get_reg_val("fs",fsBase)
return internal_get_sreg_base(idaapi.get_current_thread(),int(fsBase.ival) )
但这种在64位上无效,估计是IDA自身Bug,已经提交给 hex-ray公司了。
第二种是利用appcall函数来调用windows api得到,这种过于复杂。
第三种是通过注入dll,来直接用asm汇编进行编程,这里可以使用IDA的APPCALL机制来实现LoadLibrary操作,代码如下:
def LoadLibrary(self,dll_name):
return Appcall.proto("kernel32_LoadLibraryA","int __stdcall LoadLibrary(const char * fn);")(dll_name)
之后就可以直接patch_long(addr,byte)了
Hook函数:如上文,最简单的方法是采用dll注入,采用APPCALL来加载并调用函数,如下
def callfunc(self,funcname):
if self.bits == "x86":
return Appcall.proto("stealthx86_"+funcname,"bool _stdcall "+funcname+"();")();
else:
return Appcall.proto("stealthx64_"+funcname,"bool _stdcall "+funcname+"();")();
关于需要注入的dll,由于不在本文 内容中,请自行探究。
关于一些调试过程中自动化处理的一些,留待下一篇继续讲解。