IDA Pro 是逆向工程軟件提供商 Hex-Rays 的旗艦產(chǎn)品。 作為一個(gè)交互式和可編程的反匯編器和調(diào)試器�����,IDA Pro 在不同的平臺(tái)上提供了卓越的質(zhì)量性能����,并且與許多處理器兼容。 IDA Pro 已成為惡意代碼分析�����、漏洞研究和商業(yè)現(xiàn)成驗(yàn)證的事實(shí)標(biāo)準(zhǔn)。
IDA Pro 提供不同類型的許可證:命名許可證����、計(jì)算機(jī)許可證、浮動(dòng)許可證和教育許可證����,以滿足不同的業(yè)務(wù)規(guī)模和使用需求。
反匯編器 調(diào)試器 交互式 可編程
主要功能
多處理器反匯編程序
- 用于大量處理器的反匯編程序模塊�。 SDK甚至允許您運(yùn)行自定義的反匯編程序;
- 完整的可擴(kuò)展交互性;
- 可編程:IDA可以根據(jù)用戶的需求通過IDC或IDAPython進(jìn)行擴(kuò)展;
- 開放式插件架構(gòu):外部插件支持IDA能力的擴(kuò)展;
- FLIRT技術(shù)(快速文庫鑒定和識(shí)別技術(shù));
- 代碼繪圖;
- Lumina服務(wù)器保存有大量眾所周知的功能的元數(shù)據(jù);
多目標(biāo)調(diào)試器
- 調(diào)試器增加了對(duì)反匯編器靜態(tài)收集的信息的動(dòng)態(tài)分析;
- 提供調(diào)試器所需的所有功能以及更多功能:“遠(yuǎn)程”功能和跟蹤。 遠(yuǎn)程調(diào)試器:適用于Windows��、Linux���、Mac OS X等機(jī)器的任意組合�;
隨著新 IDA 版本的發(fā)布����,引入了更多功能和升級(jí)
IDA 8.0 亮點(diǎn)
像往常一樣���,IDA 在許多方面都得到了改進(jìn)��,但這次最重要的特性——也是主要版本升級(jí)的理由——是引入了全新的 IDA 團(tuán)隊(duì)��。
IDA 團(tuán)隊(duì)出動(dòng)了�����!
我們一直在努力為我們的新產(chǎn)品做最后的潤色:一套集成的工具����,可在 [逆向] 工程師團(tuán)隊(duì)之間實(shí)現(xiàn)無縫協(xié)作。
受到最好的修訂控制工具的啟發(fā)��,IDA Teams 將他們的關(guān)鍵概念引入 IDA 數(shù)據(jù)庫和工作流程:
我們對(duì) IDA 團(tuán)隊(duì)能夠取得的成就感到非常自豪和興奮�,并希望您能夠欣賞它的潛力。 但我們不會(huì)止步于此:我們已經(jīng)對(duì)下一個(gè)版本有了很好的想法�!
iOS 16 dyld 共享緩存支持
Apple 再次修改了其移動(dòng)操作系統(tǒng)上系統(tǒng)文件的內(nèi)部格式,以提高性能和內(nèi)存使用率�,因此我們更新了 IDA 以支持新的調(diào)整。
概述函數(shù)
蘋果在最近的iOS版本上使用的另一個(gè)新技巧是概述函數(shù)��。 這是一個(gè)代碼大小優(yōu)化�����,編譯器將多個(gè)函數(shù)中使用的公共指令序列提取到一個(gè)新的偽函數(shù)中,然后從多個(gè)地方調(diào)用該函數(shù)��。
這種行為往往會(huì)使反編譯的偽代碼變得難看���,尤其是當(dāng)所列出的函數(shù)使用父函數(shù)中的任意寄存器或堆棧變量時(shí)����。 現(xiàn)在你可以用一個(gè)特殊的屬性來標(biāo)記這樣的函數(shù)�,反編譯后的代碼看起來會(huì)更漂亮。
例如���,下面是一個(gè)經(jīng)過優(yōu)化編譯的文件片段:
在初始偽代碼中�����,我們可以看到對(duì)編譯器生成的 _OUTLINED_FUNCTION_NN 片段的顯式調(diào)用�,以及一些標(biāo)記為橙色的變量�����,因?yàn)榉淳幾g器認(rèn)為它們被調(diào)用破壞了(調(diào)用常規(guī)函數(shù)就是這種情況)��。
在用“outline”屬性標(biāo)記這些偽函數(shù)并刷新偽代碼后,反編譯器將所有內(nèi)容都內(nèi)聯(lián)�����,并且不再有橙色變量:
Golang 1.18
該語言的新版本對(duì)元數(shù)據(jù)的布局進(jìn)行了更改�。 新的 IDA 版本可以解析它并很好地恢復(fù)函數(shù)名稱�。
例如,這是 IDA 7.7 中剝離的 golang 1.18 二進(jìn)制文件:
IDA 8.0 中的相同二進(jìn)制文件:
ARC反編譯器
ARC 處理器用于許多嵌入式設(shè)備�����,例如 SSD 驅(qū)動(dòng)器或 Wi-Fi 芯片組����。 直到幾年前,它還是臭名昭著的 Intel ME 中使用的核心�����。 新的反編譯器支持 IDA 當(dāng)前支持的所有 ARC 指令集變體:經(jīng)典的 32 位 ISA�、32/16 位 ARCompact 和新的 ARCv2。 開箱即用支持延遲槽��、條件指令和零開銷循環(huán)����。
不再有 Python 2
Python 2.7 支持結(jié)束已經(jīng)兩年多了��,是時(shí)候放手了����。 IDA 8.0 將僅支持 Python 3.x�����,包括最新的 3.10(Windows 安裝程序包括 Python 3.10.5)����。
借助函數(shù)查找器插件 (patfind),可以更好地進(jìn)行固件分析
固件二進(jìn)制文件通常沒有任何符號(hào)或其他元數(shù)據(jù)可以幫助 IDA 在未標(biāo)記的加載數(shù)據(jù)中查找代碼����,因此用戶必須手動(dòng)完成。 在新版本中�,我們添加了一個(gè)使用 Ghidra 中使用的模式格式的插件(帶有少量擴(kuò)展)。 該插件默認(rèn)啟用二進(jìn)制和類二進(jìn)制格式��,并幫助 IDA 自動(dòng)發(fā)現(xiàn)更多代碼��。 也可以為普通結(jié)構(gòu)化文件手動(dòng)調(diào)用它以查找其他未引用的代碼��。
初始自動(dòng)分析后發(fā)現(xiàn)的函數(shù)數(shù)量與默認(rèn)設(shè)置的比較:
FLAIR 模式生成器 (makepat)
FLAIR 工具包可供所有 IDA Pro 客戶使用,允許從靜態(tài)庫創(chuàng)建 FLIRT 簽名���。
然而�����,這樣的庫并不總是可用的——有時(shí)你所擁有的只是最終鏈接的二進(jìn)制文件。 makepat 插件支持為任意 IDA 數(shù)據(jù)庫中的函數(shù)創(chuàng)建 .pat 文件����。 它使用為 Lumina 添加的功能來標(biāo)記模式中的可變字節(jié)。 然后可以使用 sigmake 將 .pat 編譯為簽名文件并應(yīng)用于其他文件
