• 我们在哪一颗星上见过 ,以至如此相互思念 ;我们在哪一颗星上相互思念过,以至如此相互深爱
  • 我们在哪一颗星上分别 ,以至如此相互辉映 ;我们在哪一颗星上入睡 ,以至如此唤醒黎明
  • 认识世界 克服困难 洞悉所有 贴近生活 寻找珍爱 感受彼此

IDA插件:DDR

IDA插件 云涯 4年前 (2021-01-08) 1920次浏览

DDR概述

IDA中的静态逆向工程通常会成问题。某些值是在运行时计算的,这使得很难理解某个基本块在做什么。如果您尝试通过调试一个恶意软件来执行动态分析,则该恶意软件通常会检测到并开始以不同的方式运行。思科Talos推出了动态数据解析器(DDR),该插件是IDA的插件,可简化反向工程恶意软件。DDR正在使用检测技术在运行时从样本中解析动态值。

DDR架构

DDR具有如图所示客户端/服务器体系结构。DDR IDA插件和DDR服务器是Python脚本。DynamoRio客户端是用C编写的DLL,它由DynamoRIO工具drrun.exe执行。该DLL使用检测技术在运行时分析和监视恶意软件样本。IDA插件运行在IDA中,是前端;DDR服务器运行在恶意代码机器上,是服务端。通常,所有分析过程都是通过插件控制的。后端DynamoRIO客户端分析完成后,将结果发送回插件。我们选择JSON作为此数据的格式,以使其更易于故障排除并易于由第三方Python脚本解析。

从理论上讲,可以在同一台PC上运行插件和服务器,但是就执行恶意软件示例而言,强烈建议在单独的计算机上执行此操作。在大多数情况下,可以从IDA中的DDR菜单开始分析以收集动态值。下图显示了通用的工作流程。但是,如果要在无Python的系统上执行恶意软件,则也可以手动执行分析并单独运行DynamoRio客户端。

image12 image13

一旦在IDA日志输出窗口中看到插件已成功接收到JSON文件,就可以选择“获取值…”或“获取内存…”菜单之一来解析动态值或操作数。

程序安装

安装要求Python模块和DynamoRIO框架。

DynamoRIO框架地址:

https://github.com/DynamoRIO/dynamorio/releases/tag/cronbuild-8.0.18547

首先,在“恶意软件PC”上安装Python 3,并确保“分析PC”上的IDA也使用Python 3设置。DDR不支持Python2。由于IDA早期版本中的错误,如果您想在IDA <7.5中运行DDR插件,则应在IDA计算机上安装Python 3.7。DDR服务器端仍可以是Python 3.8或3.7。

原版安装

将归档文件提取到“恶意软件PC”上。最后,从归档文件根目录执行DDR_INSTALLER.py脚本。该脚本不会影响您现有的Python环境,它将为DDR创建专用的虚拟Python环境。它还没有任何非标准的Python模块依赖项。脚本在运行时会下载所有依赖项。它还会将DynamoRio框架安装到您的DDR安装目录中。该脚本将指导您完成DDR服务器和DDR IDA插件的整个安装过程。仔细阅读脚本的输出,其中包含许多其他提示,这些提示对于安装非常重要。

运行DDR_INSTALLER.py脚本后按照提示进行安装。

安装过程中服务端IP使用“恶意软件PC”的IP。

安装完成后会要求启动ddr_server.py即服务端。

在DDR目录将ddr_plugin/ddr和ddr_plugin/ddr_plugin.py放到IDA插件目录。

开启IDA后即可使用DDR进行跟踪。

汉化版安装

将plugins文件夹内文件放到IDA插件目录内。

修改ddr_config.json,修改WEBSERVER为服务端IP(“恶意软件PC”);修改CA_CERT为DDR证书绝对路径;修改DDR_WEBAPI_KEY和服务端key一致;将服务端生成的ddr_server.crt证书放到IDA插件目录的ddr目录内。

功能介绍

查询 模块

命令行参数

设置命令行参数

eg:-a 1 -b “test string”

显示命令行参数

清除命令行参数

中断地址

设置中断地址

光标所在处设置为断点,只运行断点之前命令。

显示中断地址

清除中断地址

起始偏移量

设置起始偏移量

光标选定位置设置为本次追踪起始执行地址,类似于设定执行esp。

显示起始偏移量

清除起始偏移量

基本块

添加基本块到基本块列表

光标选定基本块,将其添加到列表,在后续跟踪时可以选定跟踪基本块列表。

将该基本块从基本快列表删除

显示基本块列表

清除基本块列表

跟踪 模块

对标记的地址范围进行完整跟踪

选定地址范围进行追踪。

对标记的基本块进行完整跟踪

对标记所在的整个基本块进行追踪。

对基本块列表进行完整跟踪

对标记的基本块列表进行跟踪。可通过显示基本块列表进行查看。

对段进行完整跟踪

对当前代码段进行完整跟踪。

对段进行轻跟踪

相对于完整跟踪。

转储 模块

使用带标记的操作数来获取缓冲区大小

选定缓冲区大小。

使用有标记的操作数来获取缓冲区地址

使用标记的地址转储缓冲区到文件

将设置的值转储到缓冲区文件。

执行样本和转储缓冲区

将缓冲区文件保存到文件。

补丁 模块

以NOP填充指令运行

光标选定指令在运行是以nop指令填充执行。

在运行时切换EFLAG

切换EFlag标志,再运行补丁可执行程序,则程序会加载另一条路。如在跳转时修改SF标志,则程序会执行另一条路。

eg:程序不会执行标记块,修改SF标志位后则执行该块。

在运行时跳过标记地址的函数

选定后标记的函数不执行,执行补丁程序后可见。

eg:跳过了func1函数。

运行补丁可执行程序

执行创建的补丁可执行程序后。

调试 模块

创建带有bp标记地址的x64dbg脚本

创建带有断点的x64dbg脚本。

在标记地址处创建循环及生成可执行文件

创建一个指令循环的补丁程序。

修复参考DDR服务端提示。

配置 模块

设置IDA DISASM视图的跟踪次数

设置IDA日志窗口的跟踪次数

设置运行时log的指令数量

设置API超时的秒数

设置等待DDR server回复时间。

编辑DDR API请求(仅限专家)

编辑DDR API请求格式。

寄存器 模块

在x??中获取指针的内存

光标选定地址,获取该地址条件下寄存器指针值。

获取源操作数/目的操作数的值

X86体系,源操作数通常是右边,目的操作数通常是左边。如果此时源操作数/目标操作数是指,则显示值;如果是地址,则通过“获取源操作数/目标操作数中的指针值”来对整个地址值进行获取,二级指针依此类推。

获取源操作数/目标操作数中的指针值

光标选定地址,获取该指针值。

获取源操作数/目标操作数中的二级指针值

光标选定地址,获取二级指针值。

获取源操作数/目标操作数中的指针内存

查看操作数内存值或指针值。

获取源操作数/目标操作数中的二级指针内存

获取操作数二级指针内存。

加载跟踪指令

加载跟踪模块执行后的结果。

关闭跟踪指令

关闭跟踪模块执行后的结果。

显示字符串跟踪

显示API调用跟踪

删除DDR注释

光标选中地址,删除DDR注释。


云涯历险记 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:IDA插件:DDR
喜欢 (0)