Download here : Attached Files mIDA-1.0.4.zip (34.6 KB, 96 views) Mấy hôm nọ change cái Color của IDA, nhưng hôm rồi máy bị dính exploit tùm lum nên đành ngậm ngùi cài lại Windows, thế là cái Style vừa change xong đi bụi luôn. Anh em có cách nào để Export cái Color ra thành template không, đã thử tìm trong Reg nhưng không biết nó lưu ở chỗ nào bởi vì trước khi cài lại Win đã copy toàn bộ IDA ra rồi thế nhưng Run lên màu mè mất hết. __________________ IDA Plugin _ FindCrypt IDA Plugin : FindCrypt Trong quá trình Analyze một chương trình thường thì chúng ta muốn quan tâm xem chương trình đó có sử dụng bất kì một thuật toán nào hay không.Các thông tin về các thuật toán được sử dụng trong chương trình đôi khi rất hữu trong quá trình Reverse của chúng ta. Tôi có tìm thấy một Plug của IDA cho phép chúng ta có thể thực hiện được công việc này. Theo như tác giả của nó nói thì Plugin này có thể nhận dạng được các Crypto sau : Quote: * Blowfish * Camellia * CAST * CAST256 * CRC32 * DES * GOST * HAVAL * MARS * MD2 * MD4 * MD5 * PKCS_MD2 (byte sequence used in PKCS envelope) * PKCS_MD5 (byte sequence used in PKCS envelope) * PKCS_RIPEMD160 (byte sequence used in PKCS envelope) * PKCS_SHA256 (byte sequence used in PKCS envelope) * PKCS_SHA384 (byte sequence used in PKCS envelope) * PKCS_SHA512 (byte sequence used in PKCS envelope) * PKCS_Tiger (byte sequence used in PKCS envelope) * RawDES * RC2 * RC5 * RC6 * Rijndael * SAFER * SHA-1 * SHA-256 * SHA-512 * SHARK * SKIPJACK * Square * Tiger * Twofish * WAKE * Whirlpool * zlib Việc sử dụng nó rất đơn giản, chỉ việc copy file .plw vào trong thư mục Plugin của IDA , sau đó khi Analyze chương trình ta chỉ việc chọn nó từ Plugins menu, công việc tiếp theo là hoàn toàn tự động.Trogn quá trình tìm kiếm nếu như phát hiện chương trình có sử dụng Crypto một hộp thoại thông báo sẽ hiện ra như sau : Download Plugin : (Có 2 version nên tôi Up cả 2 lên cho anh em) Attached Files findcrypt.zip (260.9 KB, 251 views) findcrypt2.zip (261.6 KB, 290 views) Kienmanowar(reaonline.net) IDA SIGNATURE Quá good, kien ! Tutor hay lắm, làm tiếp đi. Các bạn có nhầm lẫn ở file .ids và file .sig. File ids dùng để name và comment cho các hàm export by ordinal, vd như MFCxx.dll thường export ra ở dạng 1xx, 2xx Khi đó ta dùng ids util để tạo file ids cho dll này từ .lib file hay .def file, rồi copy nó vào IDA dir\ids\win. File ids là 1 file .zip có header #. Khi IDA load 1 exe có dùng 1 dll export by ordinal, nó sẽ tự động tìm trong thư mục ids tương ứng file .ids của dll này, load nó lên và rename, add comment cho các hàm export by ordinal của dll mà exe import. File .sig là dạng file #, nó lưu byte pattern của các hàm thư viện mà file .sig tạo ra cho thư viện đó. Vd: MASM32.sig, Delphixxx.sig, VC671MFC.sig là các file .sig tôi tạo ra cho MASM32.lib, Delphi, MFC. Có hai dạng file .sig, 1 là autoload và 1 là manual load. Khi IDA load 1 exe, sau khi analyse xong, nó sẽ tự đông load file .sig auto, và user có thể add file .sig manual = tay. Tạo file sig autoload rất khó, . version nên tôi Up cả 2 lên cho anh em) Attached Files findcrypt.zip (2 60. 9 KB, 2 51 views) findcrypt2.zip (2 61. 6 KB, 2 90 views) Kienmanowar(reaonline.net) IDA SIGNATURE Quá good,. dạng 1xx, 2xx Khi đó ta dùng ids util để tạo file ids cho dll này từ .lib file hay .def file, rồi copy nó vào IDA diridswin. File ids là 1 file .zip có header #. Khi IDA load 1 exe có dùng 1. MASM32.sig, Delphixxx.sig, VC671MFC.sig là các file .sig tôi tạo ra cho MASM32.lib, Delphi, MFC. Có hai dạng file .sig, 1 là autoload và 1 là manual load. Khi IDA load 1 exe, sau khi analyse xong,