关于ida pro的插件keypatch

最新推荐文章于 2025-06-28 13:20:12 发布
最新推荐文章于 2025-06-28 13:20:12 发布
阅读量1.1k 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/lsgxeva/p/8948113.html
本文介绍了IDAPRO的强力插件KeyPatch,该插件基于keystone-engine,支持多种CPU架构,包括ARM、ARM64等,并可在Windows、MacOS、Linux等平台上运行。文章详细阐述了KeyPatch的安装步骤及使用方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于ida pro的插件keypatch

来源 https://blog.youkuaiyun.com/fjh658/article/details/52268907

关于ida pro的牛逼插件keypatch

通常ida在修改二进制文件,自带的edit->patch program->assemble( Ilfak Guilfanov在论坛里也提到, 未来很可能会把assemble汇编器相关的功能彻底移除掉) 可以修改x86, x64 但是不能修改arm, arm64,移动端逆向该怎么办? 
这里写图片描述

之前arm下可以使用ida-patcher http://thesprawl.org/projects/ida-patcher/ 这个插件,但是必须知道arm指令对应的机器码,使用还是有点麻烦. 
如图:

ida-patcher 菜单:

ida-patcher 菜单

ida-patcher patch:

ida-patcher patch2]

edit selection:

ida-patcher patch3]

今天介绍的这个神器插件keypatch 
Keypatch is confirmed to work on IDA Pro version 6.4, 6.6, 6.8, 6.9, 6.95,7.0

https://github.com/keystone-engine/keypatch

支持的CPU架构: 
support Arm, Arm64 (AArch64/Armv8), Hexagon, Mips, PowerPC, Sparc, SystemZ & X86 (include 16/32/64bit).

支持的平台: 
work everywhere that IDA works, which is on Windows, MacOS, Linux. Based on Python, so it is easy to install as no compilation is needed.
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

keypatch底层依赖keystone-engine

安装keystone-engine

Windows上32位ida(ida 6.8, 6.9, 6.95, 7.0_x86), 安装keystone-engine, 注意 检查配套的python32

关键步骤 
https://github.com/keystone-engine/keystone/releases/download/0.9.1/keystone-0.9.1-python-win32.msi

Windows上64位ida(>=7.0), 安装keystone-engine, 注意 检查配套的python64

关键步骤 
https://github.com/keystone-engine/keystone/releases/download/0.9.1/keystone-0.9.1-python-win64.msi

macOS 安装 
必须要有cmake, 用来编译libkeystone.dylib (libkeystone.dylib, macOS python是universal binary) 
典型问题: https://github.com/keystone-engine/keypatch/issues/28 
Quick start 
Steps:

  • install brew
/usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"
  • 1
  • install cmake
brew install cmake
  • 1
  • install keystone-engine
sudo pip install keystone-engine
  • 1

默认安装目录: /Library/Python/2.7/site-packages/keystone 
目录结构: 
image

检查方法: 
1. 在ida的python 控制台 print sys.path 
2. 检查下keystone目录环境 
在”print sys.path”结果中, 如果存在 “/Library/Python/2.7/site-packages/keystone” 
不需要 copy

sudo cp -r /Library/Python/2.7/site-packages/keystone /Applications/IDA\ Pro\ <version>/ida[q].app/Contents/MacOS/python
  • 1

安装keypatch 
https://github.com/keystone-engine/keypatch.git

将 keypatch.py 复制到 
/Applications/IDA\ Pro\ 7.0/ida.app/Contents/MacOS/plugins

重新打开ida

使用keypatch 快捷键ctrl+alt+k

arm汇编 
keypatch

keypatch界面 
keypatch界面

keypatch修改界面 
keypatch修改界面

点击patch, 修改成功

keypatch修改界面后,注意右边的注释(保留前面的代码) 
keypatch修改界面后]

如何撤销修改

ctrl+alt + p 右击revert指定的修改 
撤销

或者 
keypatch撤销

keypatch工作原理

  • 先了解下ida pro 自带的插件的原理 
    这里写图片描述

    • keypatch 原理 
      这里写图片描述

keypatch依赖keystone, keystone作为Assembler

 

转载于:https://www.cnblogs.com/lsgxeva/p/8948113.html

IDAPro V7.0中keypatch插件不显示解决办法
杰孑的博客
11-21 5633
IDAPro V7.0中keypatch插件不显示解决办法 问题起因: 安装过程: 点击 先查看官方的使用说明 基本就是下面这样的说过程: 有了Python 环境之后,安装 Keystone, win + R 打开命令行 并输入 pip install Keystone 等待安装完成, 并把插件文件keypatch.py放入 D:\****\IDA_Pro_v7.0_Portable\plugins文件夹下,之后重启 IDA Pro7.0,本来这一切感觉都是很不错的,应该是没有什么问题了,但是重启了ID
ida keypatch
lacoucou的专栏
10-25 2634
安装教程: 1.有一篇中文的教程: 地址:http://blog.youkuaiyun.com/fjh658/article/details/52268907 在win7 x64系统下安装失败,主要是使用命令: pip install keystone-engine 安装失败。 2.按照官方介绍的方法安装: 2. Install Install Keystone core
IDA-keypatch
weixin_51561130的博客
06-04 949
一般来说keypatch.py已经被预装在ida上,只需要配一下python环境就能用
MacOS ARM64 IDA 9.0安装Keypatch
最新发布
uiop_uiop_uiop的博客
06-28 342
下载,放到'/Applications/IDA Professional 9.0.app/Contents/MacOS/plugins'
关于ida pro的牛逼插件keypatch
云守护的专栏
03-27 9690
关于ida pro的牛逼插件keypatch 通常ida在修改二进制文件,自带的edit->patch program->assemble 可以修改x86, x64 但是不能修改arm, arm64,移动端逆向该怎么办?  之前arm下可以使用ida-patcher http://thesprawl.org/projects/ida-patcher/ 这个插件,但是必须知道arm指
IDA pro 安装keypatch插件
热门推荐
StepTp的博客
12-12 1万+
IDA pro 7.5 安装keypatch插件前言一、安装过程二、出现问题 前言 本篇记录IDA pro 7.5 安装keypatch插件。 缺少相应库,无法加载keypatch插件:"fail to load the dynamic library" 一、安装过程 安装好python环境后,安装 keystone。 (网址:https://www.keystone-engine.org/download/) pip install keystone-engine # 安装 pip inst
IDA安装keypatch插件
Armey的博客
06-19 8924
IDA安装keypatch插件
IDA PRO keypatch.py ERROR: fail to load the dynamic library. 解决方法
sunpx3的博客
04-27 4174
    在吾爱下载了一个绿色版 IDA Pro 反调试工具, 内置了一些插件keypatch,由于需要依赖python环境,配置好环境变量即可。遇到了一些问题:1、使用 pip install keystone下载依赖时报 pip Fatal error in launcher: Unable to create process using运行 python -m pip install --up...
[IDA Plugin] IDA插件收集
志伟入归未有时(兴业和家)
08-31 9623
英语好的,看这里:https://github.com/onethawt/idaplugins-list随着时间的推移,我将组织插件。如果您有任何其他优秀的插件,请提交PR。我想用相应的IDA版本标记每个插件,但是我需要很长时间才能测试。如果你能帮到那里,请做。如果一个插件只是一个没有描述或文档的源代码,我不会添加它。去做 添加更多插件 分类插件 插件 3DSX Loader:用于3DSX文...
IDA Pro 8.3 插件
Washinsoft
03-03 2514
这是一个专为Go语言二进制逆向工程而设计的插件,提供了一些实用的功能,方便分析Go语言程序。这个插件使用YARA规则来查找二进制文件中的加密特征,帮助分析加密算法和识别加密代码段。自动逆向工程工具,通过使用静态和动态分析技术,自动化部分逆向工程过程,提高效率。一个功能强大的IDA Pro插件,用于修改二进制文件,支持各种二进制修改需求。一个备用的IDA Pro插件,用于在逆向工程过程中进行二进制文件的修改和补丁。一个实用的脚本管理工具,用于在IDA Pro中组织和运行各种脚本。
IDA Pro7使用总结
liinux-Talk is cheap,show me the code.
12-30 1125
一些二进制工具 在《IDA pro权威指南》的开篇一两章中,先是介绍了几款常用于二进制研究的工具,我这里简单的记了几个,介绍一波: C++filt: 可以用于显示出c++中复杂的重载后的函数名称 PE tools: 是一组用于分析Windows系统中正在运行的进程和可执行文件的工具 string: 可以用于直接搜索出elf文件中的所有字符串 参数-a 表示搜索整个文件,参数-t 可以显示出每一个字符串的偏移,参数-e 可以用于搜索更多的字符编码的字符串,如Unicode编码 strip: 可用于
Navicat Premium 12.1.23_KeyPatch 内有详细使用说明
09-29
Navicat Premium 12.1.23_KeyPatch, 亲测完全可以使用。 使用说明:https://blog.youkuaiyun.com/a457636876/article/details/101674961
IDAPatcher补丁插件v1.2官方版支持armarm64
08-02
IDA patcher是为十六进制的Hex-Ray's IDA Pro反汇编工具补丁,提高IDA修补二进制文件和记忆能力,该插件为恶意软件分析相关的任务,开发利用以及缺陷修补。IDA patcher融合到标准的用户界面通过添加一些菜单项和一个视图。 使用方法: 简单的复制idapatcher.py到IDA插件文件夹 该插件会自动加载下一次开始IDA Pro 说明 该插件使用纯IDA P
IDA7.0安装keypatch和findcrypt-yara插件
weixin_30590285的博客
12-04 526
IDA7.0安装keypatch和findcrypt-yara插件 谢天谢地终于装上了,赶紧把方法写一下。找了半天网上的安装方法又繁琐有坑人,偏偏这个插件利用keystone对版本要求很高。 Keypatch 可以直接修改二进制代码的插件 链接:https://github.com/keystone-engine/keypatch 安装: 1、 下载Keypatch.py复制...
MacOS安装IDA牛逼插件keypatch
weixin_30745553的博客
06-19 1988
根据官方文档安装坑实在挺多,所以值得记录下来分享。 关于keystone-engine,无论是源码安装还是使用pip2 install keystone-engine总是错误连篇 这里借鉴一位大牛的安装方法,在下列操作之前,需要安装cmake,使用brew install cmake命令。 git clone https://github.com/fjh658/keystone-engine...
IDA keypatch不显示问题解决
qq_66633020的博客
09-27 1108
IDA已经下好keypatch插件并安装了keystone_engine的前提下,未能在IDA中显示出keypatch插件
IDA7.5 linux
09-01
引用提到了关于IDA 7.5版反编译器在7.3版或7.2版IDA上运行的问题。根据这个引用,作者试图让7.5版的反编译器能够在较早的版本上运行。不过,由于临时会员不能在该论坛发帖,作者打算等到转正后再发布新的帖子来解决这个问题。 引用介绍了一本收录了两位Linux领域领导人物作品的书籍。这本书相当于“Linux文档项目”的一个印刷版本,展示了Linux的核心概念和基本结构。它恰到好处地解释了面向所有主流Linux子系统的支持和管理任务,并涵盖了广泛的主题。 引用提到了关于IDA 7.5版在Linux上的一些特性。它提到使用了Intel CET(控制流实施技术)的ELF二进制文件在PC上变得非常普遍。Debian默认启用了此编译器选项,随后Fedora和其他Linux发行版也采用了这个选项。此外,IDA还添加了对一些最近添加到Intel和AMD处理器的新指令的支持。 综上所述,IDA 7.5版是一款强大的反编译器工具,作者正在努力解决其在较早版本上运行的问题。此外,对于Linux用户,IDA 7.5版也具有一些新的特性和支持,例如对使用了Intel CET的ELF二进制文件的支持以及对新指令的支持。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [[分享][下载]IDA Pro 7.5 Linux Demo](https://blog.youkuaiyun.com/weixin_33196555/article/details/116854199)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [LINUX系统管理白皮书](https://download.youkuaiyun.com/download/beisika10368/3705540)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [最新发布的IDA 7.5新增功能速览](https://blog.youkuaiyun.com/weixin_36057013/article/details/117613483)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值