IDA密码算法匹配插件findcrypt2升级指南

最新推荐文章于 2025-06-28 11:41:15 发布
置顶 最新推荐文章于 2025-06-28 11:41:15 发布
阅读量3.1k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 软件安全与逆向分析 文章标签: IDA Pro逆向 软件安全与逆向分析 findcrypt 软件逆向工程 IDA Pro下载
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fsx199/article/details/82316548

IDA密码算法匹配插件findcrypt2升级指南

使用IDA Pro进行二进制逆向分析时,遇到最多的场景之一便是:初始化idb时需要对二进制做自动化加解密算法识别。 本篇的主要目的是,结合分析目前的密码识别插件的现况,自已动手实现功能更强的findcrypt3插件。

现状

IDA Pro在很早以前,就有一个findcrypt插件,这个插件的代码是公开的,地址是:http://www.hexblog.com/ida_pro/files/findcrypt.zip。此插件集合了当时比较常见的一些加解密与Hash算法的一些特征,使用了此插件的IDA Pro,能很好的识别这些算法,这个功能非常的实用。

经过一些年的发展,此插件推出了版本2,即:findcrypt2,同样,它的代码同样可以在其官网找到。地址是:http://www.hexblog.com/ida_pro/files/findcrypt2.zip

查看findcrypt2的代码,发现其最后修改时间是2006年的2月,距离现在2018年已经有十几个年头了。这里面涉及到的算法已经不能满足现如今的算法识别需求了!并且,代码在算法解析上有多处Bug,需要进行多处修缮才能在现在的系统上运行起来。

yara的流行,让算法识别有了新的玩法,一个典型的例子便是findcrypt-yara项目,它是一个基于yara规则实现的findcrypt插件,地址是:https://github.com/polymorf/findcrypt-yara。但这个插件的缺点比较明显:

  1. 规则编写繁琐。这点上很明显,针对不同的加解密与Hash算法,可以在其开发库(通常由C/C++语言)中直接提取后,加入到findcrypt2插件,即可集成进来,但yara是基于特定的匹配规则来识别文件的特征,每一个算法,都需要为其编写规则描述,这极大的增加了规则提取的工作量。

  2. 代码的粒度控制。很多情况下:例如二进制大小端的处理使用同一套识别特征,或者对代码进行解密处理后再应用识别算法,或者对不同的算法标识输出不同的参数,这些场景使用findcrypt2可以很好的完成工作,但findcrypt-yara却由于先天基因问题办不到。

基于这两个致命的原因,让我有了改造升级findcrypt2的想法,而不是动手扩充findcrypt-yara的规则。

动手

首先,确定实验环境是macOS 10.12系统,然后IDA Pro版本是众所周知的7.0版本。假设IDA Pro安装目录为/Applications/IDAPro7.0。将IDA的sdk解压到/Applications/IDAPro7.0/ida.app/Contents/MacOS/sdk/目录下。,将findcrypt2的代码下载下来,解压到/Applications/IDAPro7.0/ida.app/Contents/MacOS/sdk/plugins/findcrypt2目录下。然后在findcrypt2目录下打开命令行,执行如下命令:

 

$ make NDEBUG=1 __MAC__=1 $ make NDEBUG=1 __MAC__=1 __EA64__=1

这两条命令是分别生成32位与64位的插件。如果不出意外,此时是会编译出错的。

移植

查看makefile的内容,如下:

 

PROC=findcrypt O1=consts O2=sparse !include ..\plugin.mak # MAKEDEP dependency list ------------------ $(F)consts$(O) : $(I)llong.hpp $(I)pro.h consts.cpp findcrypt.hpp $(F)findcrypt$(O): $(I)area.hpp $(I)bytes.hpp $(I)fpro.h $(I)funcs.hpp \ $(I)help.h $(I)ida.hpp $(I)idp.hpp $(I)kernwin.hpp \ $(I)lines.hpp $(I)llong.hpp $(I)loader.hpp $(I)moves.hpp \ $(I)nalt.hpp $(I)name.hpp $(I)netnode.hpp $(I)pro.h \ $(I)segment.hpp $(I)sistack.hpp $(I)ua.hpp $(I)xref.hpp \ findcrypt.cpp findcrypt.hpp $(F)sparse$(O) : $(I)llong.hpp $(I)pro.h findcrypt.hpp sparse.cpp

找sdk/plugins目录下的任何其他的一个项目,对着进行修改后,代码如下:

 

PROC=findcrypt O1=consts O2=sparse _LINTFLA

最低0.47元/天 解锁文章

200万优质内容无限畅学
IDA 7.0版本安装查询加密算法的findcrypt3脚本插件的详细步骤
ATree的博客
05-28 9686
该脚本插件在Github上的地址:https://github.com/polymorf/findcrypt-yara用这个的原因是更新比较频繁,说明还有人在维护。安装这个脚本几乎浪费了我一天的时间,但是呢,也学到了很多,关键问题在于,在百度,谷歌等搜索引擎上没有找到解决问题的办法!为什么如此强大的Google也不行呢,可能是因为我们这个IDA 7.0版本的问题(因为确实是有“问题”),暂不纠结了...
恶意代码分析实战13章-IDApro插件findcrypt.plw
09-04
恶意代码分析实战13章的IDApro插件用于识别加密算法。。
findcrypt2.zip
06-18
IDA6.1 中的插件,能静态分析出二进制文件中使用的各种常用加密算法
IDA密码算法自动化识别插件、脚本汇总
一个热爱逆向,喜爱学习、分享的猿。
03-08 6381
逆向过程中,自动识别文件中存在的密码算法。原理上只有两条路 1、密码算法中的常量特征(常数、s盒等); 2、特定加密库的独有特征(字符串、指令流等)。 现有工具特点: 1、大多都是根据密码算法的常量特征进行识别,很少包含特定加密库的特征。 2、都是以反汇编工具(IDA/Ghidra)的插件、脚本形式存在。 3、都是基于静态分析,也就是只能识别静态特征。如果特征在运行时动态生成,则无能为力。 findcrypt系列 FindCryptFindCrypt2 最初的基础,2006年hex
跟我一起学“仓颉”算法-IDA*算法
最新发布
Cool_foolisher的博客
06-28 363
​本章为大家详细的介绍了仓颉数据结构算法中IDA*算法的内容。
IDA FindCrypt2插件
hanqdi_的博客
02-23 1438
在经常分析程序时,我们想知道它是否使用任何加密算法。 知道算法名称也很有用。 这个插件可以帮助我们回答这些问题。 它背后的想法非常简单:因为几乎所有加密算法都使用magic constants,我们只需在程序体中查找这些常量。 该插件几乎支持所有加密算法和散列函数。 为了方便用户,还将zlib库常量添加到列表中。 以下是完整列表: Blowfish Camellia CAST CAST256 C...
IDA pro使用 findcrypt3 插件
StepTp的博客
11-13 5793
IDA pro7.5 使用 findcrypt3 插件前言一、下载,导入插件二、问题 前言 记录IDA pro7.5 使用 findcrypt3 插件findcrypt3 下载路径:https://github.com/polymorf/findcrypt-yara 一、下载,导入插件下载findcrypt3.py 和 findcrypt3.rules 导入文件夹 IDA安装路径\plugins 使用工具打开文件,进入 Edit>plugins使用 Findcrypt
IDA中使用“密码算法识别插件 FindCrypt2
weixin_30505485的博客
10-11 434
FindCrypt2是个功能强大的IDA插件,是FindCrypt的第二版,支持小端和大端格式(workswithbothlittleandbigendianprograms.Itknowstoreuseoldslotsinthebookmarksifrunrepeatedly.Itisfullyautomaticandscanseachne...
findcrypt-yara:IDA Pro插件可查找加密常量(以及更多)
05-12
IDA Pro插件可查找加密常量(以及更多) 安装注意事项 如果是不是已经在你的系统上安装,安装yara-python包pip 。 不要安装yara pip软件包; 它插件不兼容。 用户定义的规则 自定义规则文件可以存储在: ...
FindCrypt3:强大的IDA 7.x插件,发现加密常数
gitblog_00174的博客
05-14 452
FindCrypt3:强大的IDA 7.x插件,发现加密常数 项目介绍 在当今网络安全软件逆向工程领域,加密算法的识别分析显得尤为重要。FindCrypt3 是一款基于 IDA 7.x 的插件,致力于帮助安全研究员和逆向工程师快速识别和定位程序中使用的加密常数。该插件是在 Ilfak 的 findcrypt1 和 findcrypt2 插件基础上开发而成,为用户提供了更加高效和便捷的加密常数搜...
findhash:一个IDA脚本,可以检测出哈希算法(无论是否魔改常数)并生成frida hook代码
03-25
芬达哈希 在哈希算法上,比Findcrypt更好的检测工具,同时生成Frida hook代码。 使用方法 把findhash.xml和findhash.py放到ida插件目录下 ida -edit-plugin-findhash 试图解决的问题 哈希函数的初始化魔数被修改 想快速验证所分析的函数中是否使用了MD5,SHA1,SHA2这些哈希算法。 Findcrypt / Signsrch没发现来 可以应对如下各种findcrypt发现或哈希函数被魔改的情况 原理 通过正则表达式校正伪伪C代码中的初始化魔数代码以及哈希运算函数,很粗鲁暴力,所以运行时间会比较长,因为要反编译所有函数,但对哈希算法的检测上效果非常好。 去做 适应arm64 增加对特征常量立即数的搜索 根据相关理论,高占比的位运算指令以及循环,是加解密算法难以抹去的结构特征。
cpp-迁移IDAProFindCrypt插件至Ghidra
08-16
迁移IDA Pro FindCrypt插件至Ghidra
IDA7.0安装findcrypt插件
blog
07-01 2298
材料:建议52破解的爱盘 IDA_Pro_v7.0_Portable这个版本,免得ida跑到莫名其妙的地方找python用。。。 为方便安装先把python路径D:\xxxxxxxx\IDA_Pro_v7.0_Portable\python27添加到环境变量中,把python.exe改成idapython,重启终端看是否能呼出idapython 16953 :: C:\Windows » idapython Python 2.7.13 (v2.7.13:a06454b1afa1, Dec 17 2016,
吾爱IDA 7.7使用Findcrypt插件
weixin_46438397的博客
02-17 465
吾爱IDA 7.7使用Findcrypt插件
windows平台上的密码算法识别工具
lionzl的专栏
02-28 2895
2011-04-11 21:00:00|  分类: 网络信息安全|举报|字号 订阅        下载LOFTER我的照片书  | 今天在看雪上面看到几个windows平台上的密码算法识别工具,我对它们进行了测试: 算法识别工具kanal2.3分析目标软件所采用的密码学算法。 注:peid 0.9x自带的插件有kanal最新版 CC
IDA findcrypt3插件在yara-python 4.3.0以上版本的问题
marosri的博客
06-12 975
显示 yara.StringMatch 不可下标,查看 yara-python 4.3.0发现这个版本对 yara.StringMatch 做了修改,现在 yara.StringMatch不是列表了。修改的方法也很简单,一是回滚 yara-python 的版本到4.2.3,如果不想回滚的话就要把findcrypt3.py源码里对 yara.StringMatch列表的操作修改成对应属性。findcrypt3插件在yara-python 4.3.0版本运行时会报下面的错误。
IDA逆向工程利器:findcrypt-yara-master插件解析
findcrypt-yara-master作为IDA的一个插件,它将findcrypt算法检测YARA规则的强大匹配能力结合在一起,极大提高了逆向工程中识别和分析加密代码的效率。这对于安全研究人员、逆向工程师以及那些需要对加密内容进行...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值