Một số phím tắt khi sử dụng IDA - Trong tab IDA View-A: để nhảy tới entry point của file exe hay các entry point của file dll đang disasm, dùng tổ hợp phím Ctrl+E - Di chuyển tới một địa chỉ VA: phím G - Tìm kiếm chuỗi trong tab Name, Strings : Menu->Search (Alt-T): - Liệt kê các tham chiếu đến một label: Menu->Jmp->Jmp to xrefs , hoặc sử dụng phím X - Viết comment cho một đoạn code: dùng phím ; hoặc Shift+; (hai chức năng này hơi khác nhau một chút). - Lưu bookmark: Muốn ghi bookmark tại một địa chỉ để sau này còn quay lại, ta bấm chuột phải vào phần địa chỉ .text bên trái, chọn Mark position (Alt+M), đặt tên bookmark cho dễ nhớ. Liệt kê các bookmark Ctrl+M - Thực hiện tính toán trong IDA: gõ Shìt + / để hiện cửa sổ lệnh, gõ biểu thức có cú pháp giống ngôn ngữ C. Chức năng này gần tương tự như lệnh calc bên OllyDbg. - Đổi tên label, tên biến hay tên hàm cho dễ đọc : di chuyển con trỏ tới đó, dùng phím N - Xác định symbolic constant: ví dụ trong đoạn code sau Code: .text:0040C842 push edx ; phkResult .text:0040C843 push 0 ; lpSecurityAttributes .text:0040C845 push 0F003Fh ; samDesired .text:0040C84A push 0 ; dwOptions .text:0040C84C push 0 ; lpClass .text:0040C84E push 0 ; Reserved .text:0040C850 push offset SubKey ; "Software\\Microsoft\\Windows CE Services\\" .text:0040C855 push 80000002h ; hKey .text:0040C85A call ds:RegCreateKeyExW ; Indirect Call Near Procedure Để xác định hằng số 80000002h tương ứng với Symbol nào, chỉ cần bấm chuột phải, chọn Symbolic constant->Use standard và chọn lấy hằng thích hợp trong list hiện ra, Ở đây ta chọn HKEY_LOCAL_MACHINE. Kết quả Code: .text:0040C842 push edx ; phkResult .text:0040C843 push 0 ; lpSecurityAttributes .text:0040C845 push KEY_ALL_ACCESS ; samDesired .text:0040C84A push REG_OPTION_NON_VOLATILE ; dwOptions .text:0040C84C push 0 ; lpClass .text:0040C84E push 0 ; Reserved .text:0040C850 push offset SubKey ; "Software\\Microsoft\\Windows CE Services\\" .text:0040C855 push HKEY_LOCAL_MACHINE ; hKey .text:0040C85A call ds:RegCreateKeyExW ; Indirect Call Near Procedure Light.phoenix(reaonline.net) IDA PLUGINS Tui attach lên các file plugin cho IDA 4.9 mà tôi đang có (còn rất nhiều plugin hay khác mà tôi chưa compile lại do lười, mệt mỏi). Trong plugins.rar có các plugin sau: 1. CoverIt 2. FindCrypt 3. highlighter 4. idb2sig 5. LoadMap 6. Mapgen 7. pdb 8. pdbplus 9. SSLKeyfinder 10. steath Các bạn extract tất cả các file .plw vào thư mục \plugins của IDA, riêng file mapconv.dll là OllyDbg plugin, để import .map2 file tạo ra từ mapgen vào OllyDbg. 2 plugin này rất hay, các bạn nên dùng, "bạn sẽ thích ngay mà". Khi load IDA lên, các plugin này sẽ xuất hiện trong menu Edit - Plugins Vì tới 10 plugin nên tôi lười viết hướng dẫn. Khi dùng các plugin này, có gì thắc mắc các bạn cứ hỏi, ai biết sẽ trả lời. Hy vọng với IDA/WinDbg/OllyDbg/SoftIce, các bạn sẽ thật sự trở thành các Reverser giỏi (các tool trên MS đã yêu cầu các security analyzer của họ phải biết hết, giỏi, và phải biết lập trình C/C++/ASM/C# để viết plugin, tool cho RE). Attached Files plugins.rar (288.0 KB, 264 views) TQN(reaonline.net) New Plug Determina PDB Plugin for IDA Pro Quote: This is a replacement for the IDA PDB plugin which significantly improves the analysis of Microsoft binaries with public debugging symbols. The distribution contains a binary plugin for IDA 4.9 and source code under a BSD license. Em thấy có cái Plugin này, nhưng chắc phải nhờ anh TQN check hộ xem nó có tính năng thế nào mà tác giả của nó nói là dùng để thay thế cho IDA PDB. Home site : http://www.determina.com/security.research/ Attach here : Attached Files detpdb-0.2.zip (596.6 KB, 195 views) Kienmanowar(reaonline.net) IDA Plugins: DbgPlus Quote: DbgPlus plugin is a plugin that allows you to issue debugging commands through a command-line interface. This plugin provides you: - a command-line interface for debugging - additional IDC debugging extensions - an additional command scripting engine (backed by COMPEL) The plugin should work with most IDA's debugger plugins and remote debuggers. However, there are some commands that are specific to Windows/x86. Attached Files dbgplus.zip (309.9 KB, 188 views) IDA Plugins: mIDA Quote: mIDA is a plugin for the IDA disassembler that can extract RPC interfaces from a binary file and recreate the associated IDL definition. mIDA is free and fully integrates with the latest version of IDA (4.9). This plugin can be used to : * Navigate to RPC functions in IDA * Analyze RPC function arguments * Understand RPC structures * Reconstruct an IDL definition file The IDL code generated by mIDA can be, most of the time, recompiled with the MIDL compiler from Microsoft (midl.exe). mIDA is freely distributed to the community by Tenable in the hope it will be useful to you and help research engineers to work more effectively on RPC programs. However, Tenable does not provide support for this tool and offers no garantee regarding its use or output. Please read the end-user license agreement before using this program Quote: Last updated on Apr 11, 2006 with the following description: - Display FC_CALLBACK address instead of '?' - Generated IDL code can now be compiled with a midl compiler - FC_ENUM16 is now displayed as a short - Add support for obsolete keywords FC_ALIGNMX - Add support for FC_BYTE_COUNT_POINTER - Fix function name if a pdb file is used in IDA - Fix the address of the argument structure in the edit box - Wait that IDA has processed enerything in the queues before scanning - If RPC functions are not defined as function, ask IDA to define them (useful for inline functions) - Raise an Exception if the loop recursion limit is reached - Display information about the RPC stub in the decompilation window - Added ofile option for bash mode - Ported to IDA5.0 Homepage : http://cgi.tenablesecurity.com/tenable/mida.php . Code: .text :00 40C842 push edx ; phkResult .text :00 40C843 push 0 ; lpSecurityAttributes .text :00 40C845 push 0F 003 Fh ; samDesired .text :00 40C84A push 0 ; dwOptions .text :00 40C84C push 0 ; lpClass. lpClass .text :00 40C84E push 0 ; Reserved .text :00 40C8 50 push offset SubKey ; "Software\Microsoft\Windows CE Services\" .text :00 40C855 push 800 000 02h ; hKey .text :00 40C85A call ds:RegCreateKeyExW. .text :00 40C842 push edx ; phkResult .text :00 40C843 push 0 ; lpSecurityAttributes .text :00 40C845 push KEY_ALL_ACCESS ; samDesired .text :00 40C84A push REG_OPTION_NON_VOLATILE ; dwOptions .text :00 40C84C