eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 12 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› VMAttack IDA Plugin
Посл.ответ Сообщение


Ранг: 574.3 (!)
Статус: Модератор
Research & Development

Создано: 3 марта 2017 12:04 New!
Цитата · Личное сообщение · #1

VMAttack IDA PRO Plugin

Основанный на виртуализации плагин к IDA Pro для статического и динамического анализа и деобфускации.

Примечательно, что плагин занял второе место на ежегодном IDA Pro Plug-in Contest в 2016 году.


Введение

VMAttack - это плагин к IDA Pro, который предоставляет реверсеру дополнительные возможности по анализу, направленному на противодействие обфускации, основанной на виртуализации. На данный момент плагин заточен на виртуальные машины, основанные на стеке, но в будущем планируется расширить поддержку различных архитектур виртуальных машин.
Плагин поддерживает возможность статического и динамического анализа, который использует как возможности API IDA, так и собственный анализатор для предоставления функционала автоматического, полу-автоматического и ручного анализа.
Основное назначение данного плагина - в помощи реверсеру в раскрутке виртуализированной обфускации
и в автоматизировании процесс реверса, насколько это возможно.


Установка

Требования

IDA Pro версии >= 6.6

Python 2.7.10/.11

Скачать VMAttack.v0.2.zip или через Git: https://github.com/anatolikalysch/VMAttack.git

После чего установить питоном:
Code:
  1. python setup.py install


Операционные системы
Протестирован на Windows 7 и Windows 10.

Скрины





Скачать
VMAttack.v0.2.zip
или
https://github.com/anatolikalysch/VMAttack.git

Сорс и детальное описание:
VMAttack @GitHub

Автор:
Anatoli Kalysch из Friedrich-Alexander-Universität Erlangen-Nürnberg (FAU)

| Сообщение посчитали полезным: mkdev, zNob, plutos, gloom


Ранг: 7.5 (гость)
Статус: Участник

Создано: 3 марта 2017 12:45 New!
Цитата · Личное сообщение · #2

Вроде в теме с идой было, но не суть. Интересно, на реальном софте кто-нибудь успешно применял сию туль ?

Ранг: 30.2 (посетитель)
Статус: Участник

Создано: 3 марта 2017 13:11 New!
Цитата · Личное сообщение · #3

в x64 умеет? а то на картинках опять осточертевшие eax, ebx и т.д.


Ранг: 574.3 (!)
Статус: Модератор
Research & Development

Создано: 3 марта 2017 13:14 New!
Цитата · Личное сообщение · #4

dsrabot1 пишет:
Вроде в теме с идой было

Не было: Использование IDA Pro, версия для печати.

dsrabot1 пишет:
Интересно, на реальном софте

Учитывая набор фич и открытость кода, его можно применять довольно широко.
К тому же при схеме "запихиваем в стек структуру или константы для VM и вызываем обработчик VM", он хорошо справляется.

Ранг: 0.0 (гость)
Статус: Участник

Создано: 3 марта 2017 21:07 New!
Цитата · Личное сообщение · #5

Хороший плагин, легко заточить под нужную задачу и в варианте "как есть", тоже вполне себе рабочий.


Ранг: 381.0 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 4 марта 2017 08:24 New!
Цитата · Личное сообщение · #6

вроде установил без проблем, но когда открываю иду вижу:

ImportError: No module named distorm3

что не так?

Ранг: 75.3 (постоянный)
Статус: Участник

Создано: 4 марта 2017 11:08 · Поправил: v00doo New!
Цитата · Личное сообщение · #7

plutos, нет значит модуля или ты с разрядностью напутал, когда устанавливаешь смотри лог, ему в зависимостях нужен он.


Ранг: 574.3 (!)
Статус: Модератор
Research & Development

Создано: 4 марта 2017 12:26 New!
Цитата · Личное сообщение · #8

plutos пишет:
ImportError: No module named distorm3

Запусти команду (установка модуля питона):
Code:
  1. pip install distorm3 idacute

| Сообщение посчитали полезным: plutos



Ранг: 256.3 (наставник)
Статус: Участник
Advisor

Создано: 4 марта 2017 13:18 New!
Цитата · Личное сообщение · #9

shellstorm пишет:
Хороший плагин, легко заточить под нужную задачу и в варианте "как есть", тоже вполне себе рабочий.

хз для чего это старьё 2 месяца назад выложили на гитхаб, плуг то толком и не обкатан.
Кого знаю, все загадочно крутят репой. Кроме скринов примеров нет.
ну есть какой-то функционал, ну тащит море контекста. И как это поможет ?
Нееее, я то конечно желаю успеха, и даже надеюсь, что кто-то осилит, и выложит выхлоп на паблик.


Ранг: 1091.6 (!!!!)
Статус: Участник

Создано: 4 марта 2017 17:05 New!
Цитата · Личное сообщение · #10

Jupiter пишет:
Учитывая набор фич и открытость кода, его можно применять довольно широко.


Бро, а его кто-нибудь уже ну хоть как-то применил?


Ранг: 281.5 (наставник)
Статус: Участник

Создано: 4 марта 2017 17:15 New!
Цитата · Личное сообщение · #11

Да хорошая вещь. В плане анализа кода - хорошая альтернатива иде, может помочь обойти трудности в скриптах иды быстрее, есть такая теоретическая возможность.

Добавлено спустя 20 минут
DenCoder пишет:
В плане анализа кода

Я имел в виду автоматического анализа. Ведь большинство конструкций кода, применяемых техник шаблонные. И можно упростить себе анализ, разгрузив мозг от рутинных операций по анализу. А этот плагин хорош тем, что может позволить анализировать легче код и под x86/x64, и под мипс, и под арм. Ну это моё мнение.

Добавлено спустя 55 минут
DenCoder пишет:
хорошая альтернатива иде

VMAttack IDA Plugin

Сегодня день какой-то... Это хотел написать в топике про capstone. Перепутал топик


Ранг: 381.0 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 5 марта 2017 04:50 New!
Цитата · Личное сообщение · #12

Jupiter пишет:
Запусти команду (установка модуля питона):


Запустил команду, правда сперва выскакивала ошибка:
error: Microsoft Visual C++ 10.0 is required (Unable to find vcvarsall.bat).

Добавил новую environmental variable:
VS90COMNTOOLS = %VS140COMNTOOLS%
и все заработало.

Спасибо, Jupiter!
 eXeL@B —› Софт, инструменты —› VMAttack IDA Plugin

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS