IDA 插件大赛 2022

Hex-rays 每年都会为 IDA 举办插件大赛,该大赛每年都会涌现出各种类型的插件,有安全团队也有个人安全研究员,为了解决各种问题从而开发各种插件。今年的插件大赛一共入围了九款插件。评审团最终评出的前三名为:
  • ttdbg

  • ida_kcpp

  • FindFunc

以下是本届插件大赛上九款插件的简要介绍:

Condstanta

该插件用于搜索条件语句中的常量,不论是 if 还是 switch-case 语句都可以。

Condstanta

https://github.com/Accenture/Condstanta

FindFunc

该插件用于使用特定代码模式或者特定字节模式匹配发现函数,目前针对 x86/x64 架构,但也支持其他架构。

FindFunc

https://github.com/FelixBer/FindFunc

FirmLoader

该插件解决了 SVD 插件的缺陷,不仅读写 XML 更具有优势,而且能够更方便地浏览制造商/设备列表。这样在分析固件时,可以获得更多便利。

FirmLoader

https://github.com/Accenture/FirmLoader

ida_bochs_windows

该插件可用于在 Bochs 调试时加载模块与符号信息,方便调试。

ida_bochs_windows

https://github.com/therealdreg/ida_bochs_windows

ida_kcpp

该插件基于 ida_kernelcache 插件的分析结果,使研究人员可以更方便地对 iOS 内核缓存进行逆向工程。在分析特别复杂的,例如包含几十个超类与虚函数的类时,都能够表现良好。

ida_kcpp

https://github.com/cellebrite-labs/ida_kcpp

ida_names

该插件使用函数名重命名伪代码窗口,这对打开非常多个窗口的用户来说非常有用。

ida_names

https://github.com/archercreat/ida_names

quokka

该插件为导出工具,将 IDA 分析的信息进行导出。另外还提供了对应的 Python 库,可以批量处理这些导出文件,并且利用 Capstone 与 pypcode 进行辅助逆向工程。

quokka

https://github.com/quarkslab/quokka

ttddbg

该插件可以读取由 WinDBG 或 Visual Studio 生成的 Time Travel Debugging traces,使调试更容易。

ttddbg

https://github.com/airbus-cert/ttddbg

VulFi

该插件根据规则帮助分析人员进行漏洞发现,该插件的作者与 Condstanta 插件的作者都是埃森哲的 Martin Petran。

VulFi

https://github.com/Accenture/VulFi



点击查看原文跳转 Hex-Rays 官网。

查看原文