IDA Deobfuscator plugin
by mpompeo
Hi all,

this is my new, basic deobfuscator plugin for IDA.

Go to an obfuscated code sequence, start it (ALT+O), enter the end address (start address is already filled) and go.

I wont push much this POC version as it needs a full rewrite -it is a quick&dirt tool-, but I am curious to know 'how it works' for you, and where it mainly fails.


(didnt test it on 5.3, drop me a line if it doesnt work and I'll update)

edit--- 0.2 which fixexs checkboxes (made confusion with some flag :P )

dcae_14.01.2009_CRACKLAB.rU.tgz - IDA_Deob_02.rar

| Сообщение посчитали полезным:

pavka
+10, хороший тул

превратилось в:

ИМХО очень неплохо. Хотя со стэком лажа. Две последние инструкции - ошибка...

| Сообщение посчитали полезным:

интересно , посмотрим , а сайт у афтора есть ?

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

mak посмотри здесь http://community.reverse-engineering.net/viewtopic.php?f=10&p=43572. http://community.reverse-engineering.net/viewtopic.php?f=10&p=43572.

| Сообщение посчитали полезным:

pollllll_n пишет:

mak посмотри здесь community.reverse-engineering.net/viewtopic.php?f=10&p=43572.

Сенкс, да и версия тут поновее 0.3 (от 15.01.09) чем в топстарте 0.2 (от 13.01.09) . Видно автор печет версии как пирожки, что обещает долгую жизнь топику.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

OKOB да, главное чтоб теста для печева у автора было побольше, для долгой жизни нашего топика

| Сообщение посчитали полезным:

и сюда приложим 0.3 версию. А у когонить остался плагин для деобфускации другого автора тот что с паблика убрал свой плаг?!

5534_15.01.2009_CRACKLAB.rU.tgz - IDA_Deob_03.rar

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

В новой версии все равно траблы со стэком. Надо забагрепортить автору...

| Сообщение посчитали полезным:

К сожалению, из всех деобфусцирующих преобразований тулза пока умеет лишь удалять мертвый код. Причем в ряде случаев нагло удаляя полезные инструкции.

| Сообщение посчитали полезным:

ASMax пишет:
К сожалению, из всех деобфусцирующих преобразований тулза пока умеет лишь удалять мертвый код.
автор в движении ;) сабж обновил до 0.5
this tool at v0.5 should provide quite a decent deobfuscation. keep in mind I did not complete the support for pusha/popa, and that due to sub-optimize some minor junk may remain (also due to a code line that 'skips' all the exit points of a jump mah )

I'd like to know if it skips 'important instructions' that would/should not be touched, I am curious how good it is now.

Basic accumulation of constants and minor constant propagation is done. Same for the possibility of removing paired push/pops.

Please let me know where it fails... thanks!

| Сообщение посчитали полезным:

Забавно, на том форуме тоже жалуются на эти ошибки.

pavka
А где взять свежую?

| Сообщение посчитали полезным:

progopis
community.reverse-engineering.net/download/file.php?id=780&sid=ae7f261662a165db001126e24b368a79

| Сообщение посчитали полезным:

мда, дальше - "лучше"


| Сообщение посчитали полезным:

А в чем проблема-то сделать статический анализ мертвого кода?
Становимся на ScreenEA, бегаем до тех пор, пока стек не выровняется, сравниваем состояние - если не изменилось - ставим jmp в начальный адрес.
Где-то в лохматом году у меня был даже скрипт для чего-то такого.

-----
старый пень

| Сообщение посчитали полезным:

jmp-вермишель оно чистит?

| Сообщение посчитали полезным:

ssx
да

| Сообщение посчитали полезным:

гораздо ранее появился плагин cleaner от kab'а, который правда быстро исчез из свободного доступа ;)

простую деобфускацию можно вычистить по сигнатурам, например с помощью скриптов на perl и плагина Embeded Perl от RedPlait'а

| Сообщение посчитали полезным:

Скинул бы кто этот самый cleaner от kab'а в личку что ли.

| Сообщение посчитали полезным:

Гы, приватом он никогда и не был – это адский баян %))
Был всегда тут
www.safegen.com/~kab/cleaner.rar
но чет щаз почвиркал, не качаеццо..
вот залил(только исходники и чтиво(кто умеет тот соберет, остальные идут лесом))
demonteam.narod.ru/download/cleaner.rar (50kb)
кто не читал, читайте до просветления %))
наверное на паблике это лучшее, хотя я сам исходники смотрел только мельком(можно сказать открыл и закрыл)

полностью согласен с Астом, все это чистиццо с помощью скриптов
перл хуйня, питон сейчас рулит(скорость правда дерьмо на больших файлах(мну юзает луа))
и этот плагин – если глянуть на код, то можно за несколько десятков минут набросать скрипт(на питоне для ИДЫ) делающий все тоже самое
ЗЫ: скрипты это не предел ;))

-----
ЗЫ: истЕна где-то рядом, Welcome@Google.com

| Сообщение посчитали полезным:

r_e пишет:
А в чем проблема-то сделать статический анализ мертвого кода?

Сделай, ктож мешает.

Demon666 пишет:
и этот плагин – если глянуть на код, то можно за несколько десятков минут набросать скрипт

Еще один. Сделай й0пт. Попиздить все молодцы, а вот реально что-то делают и выкладывают
на паблик единицы.

Автору плагина респект. Молодец чел.

-----
Никогда не делай то, что возможно. Стремись сделать то что невозможно впринципе!

| Сообщение посчитали полезным:

Весь хлам поскипал, а зачинщика отбанил на 3 дня. При всём уважении, национальной свалки я тут не потерплю.

| Сообщение посчитали полезным:

pompeo пишет:
Basic accumulation of constants and minor constant propagation is done. Same for the possibility of removing paired push/pops.
Вообще говоря, инструкции push и pop являются целостными лишь с точки зрения x86 архитектуры. Соответственно работая с ними напрямую, т.е. не дробя на логику, деобфускатор загоняет себя в очень узкие рамки и теряет универсальность.

Кроме того, универсальность теряется еще и в связи с тем, что деобфускатор не формирует инструкции самостоятельно, а лишь вычеркивает ненужные.

ssx пишет:
jmp-вермишель оно чистит?
progopis пишет:
да
Не чистит, а скипает, это несколько разные вещи.

| Сообщение посчитали полезным:

Порылся в ящике - нашел вот такой древнючий скриптец для иды.
До полной готовности - просто доработать напильником

fd95_17.01.2009_CRACKLAB.rU.tgz - tracer.zip

-----
старый пень

| Сообщение посчитали полезным:

Demon666 пишет:
питон сейчас рулит(скорость правда дерьмо на больших файлах

не замечал никаких проблем со скоростью на больших файлах в указанной мной связке,
при одновременном поиске по нескольким сигнатурам

| Сообщение посчитали полезным:

В тему --> IDA_Deob_06 <-- http://community.reverse-engineering.net/download/file.php?id=782&sid=0d0ffaf7c6e851744ba40fdebc38fe7b

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным:

там 07 уже на форуме

| Сообщение посчитали полезным:

IDA Deob 0.71 (attached)
Hi all, welcome to 0.7 version of my deobfuscator POC plugin.

This time, I added a sparsely used function that i wanted for completeness: General register memory reference tracking. To explain with a sample, look this output:

Code: Select all
OBFUSCATED CODE:



See the usage of EBP? You can select to track indirect references of EBP with the relevant checkbox, which append the following EBP analysis at the end of plugin's output:

Code: Select all


...enjoy!

This is probably the 'last version' of this plugin, I dont think i will pursue it much more than now...


bf63_20.01.2009_CRACKLAB.rU.tgz - IDA_Deob_071.rar

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube

| Сообщение посчитали полезным:

progopis пишет:
мда, дальше - "лучше"
У меня опять еррор, уже по-другому адресу. Надо ему базу скинуть, на которой ошибка происходит.

pompeo пишет:
This is probably the 'last version' of this plugin, I dont think i will pursue it much more than now...
Фиговое заявление, учитывая что почти любой продукт по определению содержит баги...

P.S. Всё-таки надо будет связаться с автором и скинуть баг-репорт...

| Сообщение посчитали полезным:

Сабж обновился до v0.76b _hxxp://www.tuts4you.com/download.php?view.2556

| Сообщение посчитали полезным:

Господа сори, что поднимаю древний топ, но может кто нибудь выложить cleaner от kab'a. А то сайт демона666 в бане, а сырки поглядеть охота

| Сообщение посчитали полезным: