火眼實驗室FLARE IDA Pro腳本系列

作者 Rabbit_Run

火眼實驗室的高級逆向工程(簡稱“FLARE”)團隊繼續把知識和工具分享給社區。本系列博文以一個用于“自動化恢復惡意程序中的結構化字符串”的腳本作為開頭。????????像往常一樣,你可以下載這些腳本,下載位置????https://github.com/fireeye/flare-ida。我們真誠地希望這些腳本能對你有所幫助。??????????

??

一、動機

????????在FLARE團隊暑假實習期間(PS:唉,俺是沒機會了,路費太貴了!),我的目標是開發一個IDA python插件,用于加快在IDA Pro中的逆向工作流程。???和團隊一起分析惡意代碼樣本時,我意識到從MSDN網站上查找函數、參數和常量等信息占用了大部分時間。由于要頻繁切換到開發手冊,逆向過程總是被打斷。最終,我們找到了解決方法-把MSDN信息自動整合到IDA Pro。本篇博文介紹的腳本就是用來解決這個問題的,而且接下也會介紹如何使用腳本。??????

二、介紹

????MSDN注釋插件整合了函數、參數、返回值等信息,并以注釋的形式呈現在IDA Pro反匯編列表中,盡可能的實現了信息的無縫整合。此外,該插件能夠自動化重命名常量,進而加快了逆向分析的流程。該插件依賴于一個離線的XML數據庫文件,它是結合微軟文檔和IDA類型庫文件生成的。????

三、特征

????????表1展示了插件能夠為逆向分析專家提供的幫助。在表的左側,你看到的是IDA Pro標準的反匯編窗口:7個參數入棧,然后調用函數CreateFileA。通常來說,一個分析師不得不從文檔中查找函數、參數或常量的描述,從而????理解這塊代碼是干嘛滴!為了獲得常量值的可讀形式,分析師需要研究相應的參數,把標準的枚舉類型導入到IDA中,然后手動重命名。表的右側顯示的是我們的腳本執行后的結果,為逆向分析師提供了更多的幫助。??????

????????最明顯的變化是常量能夠被自動重命名。在這個例子中,40000000h被自動的轉換為GENERIC_WRITE。此外,每個函數參數都被重命名為唯一值,因此相應的描述也可以被添加到反匯代碼中。??????????????

表1:標準符號常量的自動化標記

????在圖1中,你能清楚地看到該插件在反匯編代碼中如何顯示函數、參數以及常量信息。頂部的圖片顯示的是當鼠標懸停在CreateFileA函數上時,可以查看到簡單介紹和返回值。在中間的圖片中,當鼠標懸停在hTemplateFile參數上時,可以查看相應的描述。在底部的圖片中,當鼠標懸停在dwShareMode上時,該自動化重命名的常量會顯示一些描述信息。????

函數

參數

常量

圖1.當鼠標懸停在函數名、參數和常量上時會顯示相應的描述信息

四、工作原理

????????在插件對反匯編代碼產生任何改變之前,它會備份當前的IDB文件(IDA數據庫文件)。該文件會存儲在當前數據庫的目錄下,用于恢復以前的標記,以防你不喜歡插件對反匯編代碼的更改或出現了問題。????

該插件適合在分析之前對樣本代碼運行一次。它依賴于一個離線數據庫,產生自MSDN文檔和IDA Pro類型庫文件(.til)。對于導入表中引用的每個函數,該插件都會注解函數描述和返回值,添加參數描述以及重命名常量。圖2描述的是一個已注釋的導入表的示例。它展示了一個描述性的注釋如何添加到每個API函數調用。參數位于函數調用的前面,以便標識出指令的地址,該插件依賴于IDA Pro標記。????

圖2:已注釋的導入表

??圖3顯示了一個插件創建的.msdn段,主要用于存儲參數描述。這只會影響IDA的數據庫文件,不會修改原始的二進制文件。?

圖3. 額外添加到IDA數據庫的段

????.msdn段中存儲了參數的描述信息,如圖4所示。獨一無二的參數名和相應描述性的注釋被順序的添加到該段中。????

圖4. 名字和注釋都被插入到參數描述

????為了讓用戶通過懸停鼠標就能查看到常量的描述信息,插件導入了IDA Pro中標準的枚舉類型,并給枚舉成員添加了描述性的注釋。圖5顯示了MACRO_CREATE枚舉類型,存儲了通過參數dwCreationDisposition傳遞給函數CreateFilaA的常量值。????

圖5.添加枚舉成員的描述

五、準備MSDN數據庫文件

??????????????????插件的圖形化接口需要安裝QT框架和Python,已經包含在IDA Pro 6.6發行版中。????????你也可以在IDA 6.5的環境中使用插件,具體設置參考如下 (http://www.hexblog.com/?p=333).??????????????

????就如開始提到的,插件需要一個XML數據庫文件,用于存儲MSDN文檔。我們不能讓這個數據文件和插件一起發布,因為MSDN文檔的版權是微軟的。甭怕,我們提供一個生成這個數據庫文件的腳本。腳本和插件都可以從git倉庫(https://github.com/fireeye/flare-ida)下載下來。????????

你可以參照以下步驟創建數據文件,只需執行一次就O了。

????????1. 下載并安裝離線MSDN文檔,下載鏈接:http://www.microsoft.com/en-us/download/details.aspx?id=18950.盡管不是最新的SDK版本,但是它包含了所需的全部信息,????????而且數據可以直接被提取。如圖6所示,你可以只選擇安裝幫助文檔,默認的安裝目錄是C:ProgramFilesMicrosoft SDKsWindowsv7.0Help1033.????????

圖6. 安裝MSDN文件的本地副本

????2. 利用解壓軟件(如7-zip)解壓MSDN文檔到指定目錄

3. 從Hex-Rays網站上下載tilib.exe,鏈接如下: https://www.hex-rays.com/products/ida/support/download.shtml

????為了讓插件能夠重命名常量,插件需要知道需要導入哪些標準的枚舉類型。IDA Pro把這些信息存儲在位????????于%IDADIR%/til/的TIL文件中。Hey-Rays提供一個工具(tillib)用于顯示TIL文件內容。把下載的tillib文件解壓到%IDADIR%目錄中。如果你不加任何參數運行tilib,并看到了它的幫助信息,說明程序正確地運行起來了。????

4. 運行MSDN_crawler/msdn_crawler.py <已解壓的MSDN文件的目錄 > < tilib.exe所在的目錄> < til文件所在的目錄>

如果提前條件都滿足,你就可以運行位于MSDN_crawler目錄中的MSDN_crawler.py腳本。腳本需要TIL文件的目錄(通常為%IDADIR%/til/pc/)和已解壓的MSDN文檔的目錄。當腳本運行完之后,最終的XML數據庫文件就位于MSDN_data 目錄中。????

現在就去IDA中運行我們的插件給反匯編代碼添加注釋吧!

六、運行MSDN注釋插件

????????在IDA中,通過菜單”File->script File…”(或快捷鍵 ALT+F7)打開名為annotate_IDB_MSDN.py的腳本。然后出現如圖7所示對話框,允許你配置插件的功能。默認情況下,插件會注釋函數、參數以及重命名常量。如果你修改了配置,并通過點擊“OK”執行插件,配置信息會存儲在位于插件目錄中的一個配置文件。這樣就允許你重用以前的配置在其他的樣本中運行插件。如果你沒有配置注釋函數或參數,你將鼠標懸停在這類元素(函數或參數)上時,就不會出現相應的描述信息了。????????

圖7. 插件的配置窗口

????

當你對函數配置成了“可重復性注釋”,在反匯編列表中函數的描述信息是可見的,如圖8所示。????

圖8.當設置成“可重復性注釋”時,函數注釋的預覽

七、類似工具和已知的缺陷

????????部分解決方案借鑒了現有的IDAPro插件,例如IDAScope和IDAAPIHelp。在此對Zynamics團隊表達最真摯的謝????意,他們的MSDN crawler和IDA importer給我們的研發提供了極大的幫助。

插件主要在Windows環境下的IDA Pro上測試通過,應該也可以在其他系統環境下運行。由于MSDN文檔的結構和MSDN crawler工具的缺陷,并不是所有的常量都能被自動解析。當你遇到缺失信息的情況,你可以在MSDN_data目錄添加一些文件來手動擴展數據庫。為了保證擴充文件能夠被正確的處理,這些文件必須是有效的XML文件,并且符合主數據庫文件(madn_data.xml)中給定的結構(XML Schema)。如果你打算部分擴展已有函數的信息,你只需要添加額外的字段。為了標識相應的元素,必須為這些額外字段添加名字標簽(name tag)。????

??例如,如果解析器不能識別一個常用的常量,你可以手動添加注釋信息。對于CreateFileA函數中的dwDesiredAccess參數,需要添加的信息類似于列表1:???

<?xml version=<?xml version=”1.0″ encoding=”ISO-8859-1″?><msdn><functions><function><name>CreateFileA</name><arguments><argument><name>dwDesiredAccess</name><constantsenums=”MACRO_GENERIC”><constant><name>GENERIC_ALL</name><value>0×10000000</value><description>All possibleaccess rights</description></constant><constant><name>GENERIC_EXECUTE</name><value>0×20000000</value><description>Executeaccess</description></constant><constant><name>GENERIC_WRITE</name><value>0×40000000</value><description>Writeaccess</description></constant><constant><name>GENERIC_READ</name><value>0×80000000</value><description>Readaccess</description></constant></constants></argument></arguments></function></functions></msdn>

列表1. 添加的信息增強了對CreateFileA函數的dwDesiredAccess參數的理解

八、結論

????本篇博文演示了如何生成一個MSDN數據庫文件,用于插件自動化的給IDA Pro反匯編代碼中的函數、參數和常量添加注釋信息。此外,我們還討論了插件如何工作,如何配置以及定制插件。我們希望這個插件能夠加快你的分析過程。

??[原文出處:??????http://www.fireeye.com/blog/technical/2014/09/flare-ida-pro-script-series-msdn-annotations-ida-pro-for-malware-analysis.html]

??水平有限,錯誤難免,歡迎批評指正!本人也做過一些逆向工作,對文中提到的問題也深有體會,真希望多開源一些分析工具,減輕逆向分析工作的勞動強度