VMAttack IDA Plugin

Сейчас на форуме: Alf, Adler, Rio, vsv1, site-pro (+8 невидимых)

Посл.ответ	Сообщение
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 03 марта 2017 12:04 · Личное сообщение · #1 VMAttack IDA PRO Plugin Основанный на виртуализации плагин к IDA Pro для статического и динамического анализа и деобфускации. Примечательно, что плагин занял второе место на ежегодном IDA Pro Plug-in Contest в 2016 году. Введение VMAttack - это плагин к IDA Pro, который предоставляет реверсеру дополнительные возможности по анализу, направленному на противодействие обфускации, основанной на виртуализации. На данный момент плагин заточен на виртуальные машины, основанные на стеке, но в будущем планируется расширить поддержку различных архитектур виртуальных машин. Плагин поддерживает возможность статического и динамического анализа, который использует как возможности API IDA, так и собственный анализатор для предоставления функционала автоматического, полу-автоматического и ручного анализа. Основное назначение данного плагина - в помощи реверсеру в раскрутке виртуализированной обфускации и в автоматизировании процесс реверса, насколько это возможно. Установка Требования IDA Pro версии >= 6.6 Python 2.7.10/.11 Скачать VMAttack.v0.2.zip или через Git: https://github.com/anatolikalysch/VMAttack.git После чего установить питоном: Code: python setup.py install Операционные системы Протестирован на Windows 7 и Windows 10. Скрины Скачать VMAttack.v0.2.zip или https://github.com/anatolikalysch/VMAttack.git Сорс и детальное описание: VMAttack @GitHub Автор: Anatoli Kalysch из Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU) ----- EnJoy! \| Сообщение посчитали полезным: mkdev, zNob, plutos, gloom

dsrabot1 Ранг: 9.0 (гость), 6thx Активность: 0.03↘0.02 Статус: Участник	Создано: 03 марта 2017 12:45 · Личное сообщение · #2 Вроде в теме с идой было, но не суть. Интересно, на реальном софте кто-нибудь успешно применял сию туль ?
oldman Ранг: 30.2 (посетитель), 31thx Активность: 0.06↘0 Статус: Участник	Создано: 03 марта 2017 13:11 · Личное сообщение · #3 в x64 умеет? а то на картинках опять осточертевшие eax, ebx и т.д.
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 03 марта 2017 13:14 · Личное сообщение · #4 dsrabot1 пишет: Вроде в теме с идой было Не было: Использование IDA Pro, версия для печати. dsrabot1 пишет: Интересно, на реальном софте Учитывая набор фич и открытость кода, его можно применять довольно широко. К тому же при схеме "запихиваем в стек структуру или константы для VM и вызываем обработчик VM", он хорошо справляется. ----- EnJoy!
shellstorm Ранг: -0.7 (гость), 170thx Активность: 0.54↘0 Статус: Участник	Создано: 03 марта 2017 21:07 · Личное сообщение · #5 Хороший плагин, легко заточить под нужную задачу и в варианте "как есть", тоже вполне себе рабочий.
plutos Ранг: 622.6 (!), 521thx Активность: 0.33↗0.89 Статус: Участник _Вечный_Студент_	Создано: 04 марта 2017 08:24 · Личное сообщение · #6 вроде установил без проблем, но когда открываю иду вижу: ImportError: No module named distorm3 что не так? ----- Give me a HANDLE and I will move the Earth.
v00doo Ранг: 80.6 (постоянный), 194thx Активность: 0.1↘0.04 Статус: Участник	Создано: 04 марта 2017 11:08 · Поправил: v00doo · Личное сообщение · #7 plutos, нет значит модуля или ты с разрядностью напутал, когда устанавливаешь смотри лог, ему в зависимостях нужен он.
Jupiter Ранг: 605.2 (!), 341thx Активность: 0.47↘0.25 Статус: Модератор Research & Development	Создано: 04 марта 2017 12:26 · Личное сообщение · #8 plutos пишет: ImportError: No module named distorm3 Запусти команду (установка модуля питона): Code: pip install distorm3 idacute ----- EnJoy! \| Сообщение посчитали полезным: plutos
Bronco Ранг: 312.0 (мудрец), 349thx Активность: 0.46↗0.65 Статус: Участник Advisor	Создано: 04 марта 2017 13:18 · Личное сообщение · #9 shellstorm пишет: Хороший плагин, легко заточить под нужную задачу и в варианте "как есть", тоже вполне себе рабочий. хз для чего это старьё 2 месяца назад выложили на гитхаб, плуг то толком и не обкатан. Кого знаю, все загадочно крутят репой. Кроме скринов примеров нет. ну есть какой-то функционал, ну тащит море контекста. И как это поможет ? Нееее, я то конечно желаю успеха, и даже надеюсь, что кто-то осилит, и выложит выхлоп на паблик. ----- Чтобы юзер в нэте не делал,его всё равно жалко..
Gideon Vi Ранг: 1131.7 (!!!!), 447thx Активность: 0.67↘0.2 Статус: Участник	Создано: 04 марта 2017 17:05 · Личное сообщение · #10 Jupiter пишет: Учитывая набор фич и открытость кода, его можно применять довольно широко. Бро, а его кто-нибудь уже ну хоть как-то применил?
DenCoder Ранг: 324.3 (мудрец), 221thx Активность: 0.48↘0.37 Статус: Участник	Создано: 04 марта 2017 17:15 · Личное сообщение · #11 Да хорошая вещь. В плане анализа кода - хорошая альтернатива иде, может помочь обойти трудности в скриптах иды быстрее, есть такая теоретическая возможность. Добавлено спустя 20 минут DenCoder пишет: В плане анализа кода Я имел в виду автоматического анализа. Ведь большинство конструкций кода, применяемых техник шаблонные. И можно упростить себе анализ, разгрузив мозг от рутинных операций по анализу. А этот плагин хорош тем, что может позволить анализировать легче код и под x86/x64, и под мипс, и под арм. Ну это моё мнение. Добавлено спустя 55 минут DenCoder пишет: хорошая альтернатива иде VMAttack IDA Plugin Сегодня день какой-то... Это хотел написать в топике про capstone. Перепутал топик ----- IZ.RU
plutos Ранг: 622.6 (!), 521thx Активность: 0.33↗0.89 Статус: Участник _Вечный_Студент_	Создано: 05 марта 2017 04:50 · Личное сообщение · #12 Jupiter пишет: Запусти команду (установка модуля питона): Запустил команду, правда сперва выскакивала ошибка: error: Microsoft Visual C++ 10.0 is required (Unable to find vcvarsall.bat). Добавил новую environmental variable: VS90COMNTOOLS = %VS140COMNTOOLS% и все заработало. Спасибо, Jupiter! ----- Give me a HANDLE and I will move the Earth.

Для печати