IDA反編譯系統(tǒng)插件免費(fèi)版1.0最新版

編輯點(diǎn)評(píng)：目前最好的反編譯插件

IDA中的靜態(tài)逆向工程通常會(huì)成問題。某些值是在運(yùn)行時(shí)計(jì)算的，這使得很難理解某個(gè)基本塊在做什么，如果您嘗試通過調(diào)試一個(gè)惡意軟件來執(zhí)行動(dòng)態(tài)分析，則該惡意軟件通常會(huì)檢測到并開始以不同的方式運(yùn)行，小編今天給大家?guī)�來相關(guān)插件，請自行下載使用

軟件介紹

IDA中的靜態(tài)逆向工程通常會(huì)成問題。某些值是在運(yùn)行時(shí)計(jì)算的，這使得很難理解某個(gè)基本塊在做什么。如果您嘗試通過調(diào)試一個(gè)惡意軟件來執(zhí)行動(dòng)態(tài)分析，則該惡意軟件通常會(huì)檢測到并開始以不同的方式運(yùn)行。

思科Talos推出了動(dòng)態(tài)數(shù)據(jù)解析器（DDR），該插件是IDA的插件，可簡化反向工程惡意軟件。DDR正在使用檢測技術(shù)在運(yùn)行時(shí)從樣本中解析動(dòng)態(tài)值。

DDR具有如圖所示客戶端/服務(wù)器體系結(jié)構(gòu)。DDR IDA插件和DDR服務(wù)器是Python腳本。DynamoRio客戶端是用C編寫的DLL，它由DynamoRIO工具drrun.exe執(zhí)行。該DLL使用檢測技術(shù)在運(yùn)行時(shí)分析和監(jiān)視惡意軟件樣本。

IDA插件運(yùn)行在IDA中，是前端；DDR服務(wù)器運(yùn)行在惡意代碼機(jī)器上，是服務(wù)端。通常，所有分析過程都是通過插件控制的。后端DynamoRIO客戶端分析完成后，將結(jié)果發(fā)送回插件。我們選擇JSON作為此數(shù)據(jù)的格式，以使其更易于故障排除并易于由第三方Python腳本解析。

從理論上講，可以在同一臺(tái)PC上運(yùn)行插件和服務(wù)器，但是就執(zhí)行惡意軟件示例而言，強(qiáng)烈建議在單獨(dú)的計(jì)算機(jī)上執(zhí)行此操作。在大多數(shù)情況下，可以從IDA中的DDR菜單開始分析以收集動(dòng)態(tài)值。下圖顯示了通用的工作流程。但是，如果要在無Python的系統(tǒng)上執(zhí)行惡

意軟件，則也可以手動(dòng)執(zhí)行分析并單獨(dú)運(yùn)行DynamoRio客戶端。

一旦在IDA日志輸出窗口中看到插件已成功接收到JSON文件，就可以選擇“獲取值...”或“獲取內(nèi)存...”菜單之一來解析動(dòng)態(tài)值或操作數(shù)。

IDA 插件- FRIEND 的安裝和使用

一、FRIEND介紹

FRIEND是反匯編軟件 IDA 的一個(gè)功能增強(qiáng)插件。它能提高 IDA 反編譯結(jié)果的可讀性，為指令和寄存器提供參考文檔。其主要功能如下：

利用第三方的庫(如：Capstone)提高反匯編結(jié)果的可讀性。

顯示指令和寄存器對(duì)應(yīng)的信息。

在外部的瀏覽器中打開指令或寄存器對(duì)應(yīng)的參考文檔。

顯示函數(shù)的調(diào)用總結(jié)。

開啟和關(guān)閉不同的指令及寄存器的提示信息。

二、環(huán)境要求

FRIEND 支持 Windows、Linux 和 macOS。不同的平臺(tái)，需要的軟件稍有不同，如下：

CMake 3.3及以上版本。

編譯器：GCC 或著 Clang(Linux、macOS)、Visual Studio 2015 或更高版本(Windows)。

Git

IDA SDK

Hex-Rays SDK( macOS 下的 Hex-Rays SDK 在 IDA 的安裝目錄下的 Contents/MacOS/plugins/hexrays_sdk 目錄中，可選)

IDA有哪些黑科技？

IDA本身提供一些基本逆向功能，反匯編、字符串、結(jié)構(gòu)定義、搜索等等功能，尤其反匯編功能是目前最強(qiáng)大的，支持絕大部分指令集架構(gòu)，包含一些比較偏的MCU/單片機(jī)的反匯編。

更強(qiáng)大的是其提供了插件支持，idc和python腳本支持，可以靈活的進(jìn)行二次分析。鼎鼎大名的F5功能就是一個(gè)插件，這個(gè)插件甚至賣的比IDA本身還要貴，還有很多牛逼的用于不同的領(lǐng)域分析的插件。

補(bǔ)充一句：IDA是我的最愛，甚至超過了OD和windbg，喜歡IDA的原因是當(dāng)分析一些無法調(diào)試的程序時(shí)非常有幫助。由于種種原因，在分析很多變態(tài)的病毒或者內(nèi)存dump的shellcode以及非PC平臺(tái)的設(shè)備程序分析時(shí)就完全仰仗IDA

vscode常用的9個(gè)插件推薦

1. Settings Sync

開發(fā)必備神器之一！可以幫助你在不同的設(shè)備之間同步vscode所有的配置、插件��！!

雖然配置有好幾個(gè)步驟，但是一旦配置好了之后使用非常的方便，只需要記住快速上傳和快速下載的快捷鍵即可。甚至你可以選擇默認(rèn)上傳、默認(rèn)下載，保證所有設(shè)備的開發(fā)環(huán)境同步！

2. Auto Import

這個(gè)插件可以幫助我們自動(dòng)分析代碼，快速import項(xiàng)目中的模塊。

例如現(xiàn)在我們export了一個(gè)api模塊：

// api.js

export const Api = {};

接著我們在另外的模塊中輸入api，可以看到出現(xiàn)了import Api的提示：

點(diǎn)擊第一個(gè)import之后，將會(huì)幫我們快速import所選擇的模塊：

怎么樣？是不是感覺開發(fā)效率一下子上來了！

3. Bracket Pair Colorizer 2

這個(gè)插件用于給代碼中配對(duì)的符號(hào)(例如左右括號(hào)、花括號(hào)等)添加鮮明的顏色，幫助我們快速找到成對(duì)的符號(hào)。

4. Chinese (Simplified) Language Pack for Visual Studio Code

實(shí)用型插件，vscode的中文（簡體）語言包。

安裝后點(diǎn)擊ctrl + shift + p快捷鍵，然后在命令窗口中輸入Configure Display Language，點(diǎn)擊確定之后選擇zh-cn即可切換到中文版vscode（需要重啟vscode）。

5. Code Spell Checker

這也是一個(gè)開發(fā)神器！

它的作用在于幫助我們發(fā)現(xiàn)代碼中拼寫錯(cuò)誤的單詞，如下圖所示：

有了它我們再也不用擔(dān)心開發(fā)過程中拼寫太長的單詞了。另外它能自動(dòng)檢測駝峰式、下劃線式單詞，也就是不用擔(dān)心會(huì)因?yàn)轳劮迨�、下劃線式單詞會(huì)誤報(bào)。

舉個(gè)例子，我們使用駝峰式命名一個(gè)變量：

當(dāng)我們故意拼寫錯(cuò)誤timestamp的時(shí)候，插件會(huì)檢測到錯(cuò)誤：

當(dāng)然，我們也可以自己定義單詞，也就是將自定義的單詞添加到“詞典”。我們在上一個(gè)提示框中點(diǎn)擊“快速修復(fù)”，將會(huì)彈出下面提示，選擇紅框即可將自定義單詞添加到我們自己的詞典中：

實(shí)質(zhì)上，詞典是在我們的配置文件中的，打開vscode的setting.json，可以看到剛才添加的單詞就在這里，可以直接修改這里的配置：

一定要注意不要添加太多錯(cuò)誤的單詞哦！

6.Color Highlight

這個(gè)插件能分析css語法，高亮那些帶有顏色的數(shù)值；

它可能是下面這樣的：

7. Live Server

這個(gè)插件可以快速啟動(dòng)一個(gè)本地服務(wù)器，還支持熱重載。

使用的時(shí)候只需要在菜單欄右鍵我們想要打開的html頁面即可：

它會(huì)自動(dòng)打開瀏覽器訪問本地的某個(gè)端口，加載這個(gè)頁面。

http://weixin.qq.com/r/kEyNlWLEZT8arSb29xmC<br>http://weixin.qq.com/r/kEyNlWLEZT8arSb29xmC (二維碼自動(dòng)識(shí)別)

8. Markdown Preview Enhanced

精美的markdown語法預(yù)覽插件。

感受一下vscode原生md語法預(yù)覽和該插件的對(duì)比：

左側(cè)是使用插件的效果，右側(cè)是原生vscode效果，這里看個(gè)人喜好來選擇吧。

9. Todo Tree

又一個(gè)神器！

它不僅幫助我們高亮一些特定的注解，在左側(cè)菜單欄還可以快速定位到該注解的位置！

使用的時(shí)候我們需要先打開配置文件，在里面添加配置：

可以任意自定義想要的內(nèi)容和顏色，只要能方便自己使用即可。我們上面定義了@todo、@mock等內(nèi)容，并且配置了文字顏色。當(dāng)我們在代碼中輸入這些內(nèi)容的時(shí)候，將會(huì)高亮這些內(nèi)容。

并且，可以看到左側(cè)菜單欄有一個(gè)跟插件一樣的圖標(biāo)，點(diǎn)開它會(huì)發(fā)現(xiàn)這個(gè)項(xiàng)目的所有注解都在上面，可以快速定位到對(duì)應(yīng)文件位置。

好了，今天就先到這里，上面9個(gè)插件都是我在工作中使用到并且覺得很好用的才推薦給大家，希望對(duì)你有一些幫助~