IDA Pro (programvare)

IDA Pro

Informasjon

Utviklet av	Hex-stråler
Siste versjon	7.1 (27. februar 2018)
Skrevet i	C ++
Miljø	Linux , Mac OS X , Windows
Språk	Engelsk
Type	Demonterer
Tillatelse	Proprietær programvare
Nettsted	www.hex-rays.com

Den interaktive demontereren ( I nteractive D is a ssembler), bedre kjent som IDA Pro , er en kommersiell demonterer som er mye brukt i revers engineering . Den støtter et bredt utvalg av kjørbare formater for forskjellige prosessorer og operativsystemer .

Beskrivelse

Selv om IDA Pro i stor grad er i stand til å utføre automatisk kodeanalyse (inkludert forbedring av gjenkjenning av kryssreferanser innenfor kodeseksjoner, kunnskap om API- samtaleparametere og mer. Informasjon), er det ikke sikkert at samlekoden som er hentet fra binæren vær perfekt. Menneskelig inngripen er nødvendig for å fullføre en binær skanning. Dens viktigste fordel i forhold til andre demontere som objdump eller ndisasm (for eksempel) er å være interaktiv. Faktisk har vi her muligheten for å navigere i ASM-koden som er oppnådd og kommentere eller forbedre den (en demonterer uansett hva den er kan forveksle kode og data for eksempel).

En typisk bruk av IDA Pro vil være å skanne etter skadelig programvare. For å gjøre dette, vil en bruker som ønsker å utføre en binær kodeanalyse med IDA Pro starte med å åpne filen som skal studeres. IDA Pro vil da ta seg av å utføre sin automatiske analyse, den begynner med konvertering av maskinspråk (binært) til monteringsspråk. Når instruksjonene demonteres, vil den kommentere, gi nytt navn og legge til all informasjon den anser som nødvendig. Denne automatiske analysen gjør det mulig for analytikeren å få en bedre oversikt over den demonterte binæren, han vil ha rollen som å forbedre IDA Pro-databasen. Andre bruksområder av IDA Pro eksisterer åpenbart, det er tross alt avansert programvare for omvendt utvikling. Den brukes spesielt til juridiske formål som søking etter sårbarheter (sikkerhetssårbarheter) eller for å analysere lukkede protokoller for å implementere dem på nytt for interoperabilitetsformål. Faktisk måtte lukkede protokoller som .doc demonteres for å bli støttet av LibreOffice. Analysen av oppdateringene til redaksjonen er også viktig å analysere med tanke på deres tendens til å gjøre "lydløse rettelser" eller å modifisere programmet uten å varsle brukeren i endringsloggen. Den brukes også til mindre edle formål som piratprogramvare.

Det skal også bemerkes at IDA Pro også fungerer som en feilsøking i tillegg til demonteringsmodulen . Faktisk støttes flere feilsøkingsmotorer av IDA Pro: GDB, Microsoft WinDBG, Bochs x86 og mange andre. Dette tillater for eksempel feilsøking av et Linux-program fra Windows.

IDA Pro ble opprettet som shareware av Ilfak Guilfanov og ble deretter kommersiell programvare produsert av DataRescue, et belgisk selskap, som vedlikeholder og støtter en forbedret versjon kalt IDA Pro. Ved siden av den kommersielle versjonen har DataRescue alltid opprettholdt en gratis versjon av programvaren (vanligvis en eldre versjon).

Ilfak Guilfanov forlot DataRescue og har utviklet seg sidenaugust 2007 IDA for firmaet hans, Hex-Rays.

Siden versjon 6.0 har et nytt grensesnitt utviklet i Qt standardisert Windows, Linux og MacOS-versjonene av programvaren.

Støttede systemer / prosessorer / kompilatorer

• Operativsystem
  • x86 Windows GUI
  • x86 Windows- konsoll
  • GUI for x86 Linux
  • x86 Linux-konsoll
  • x86 Mac OS X GUI
  • x86 Mac OS X-konsoll
  • Windows CE ARM-arkitektur
• Kjørbare filer
  • PE (Windows)
  • ELF (Linux, mest * BSD)
  • Mach-O (Mac OS X)
  • Netware. exe
  • OS / 2 .exe
  • Geos .exe
  • Dos / Watcom LE kjørbar (uten utvidet DOS)
  • Rå binære filer, som ROM-bilder

• Prosessorer
  • Intel 80x86- familie
  • ARM inkludert tommelinstruksjonssett
  • ARM64 (AArch64)
  • Motorola 68xxx / h8
  • Zilog Z80
  • MOS Technology 6502
  • Intel i860
  • DEC Alpha
  • Analoge enheter ADSP218x
  • Angstrem KR1878
  • Atmel AVR-serie
  • DEC-serien PDP11
  • Fujitsu F2MC16L / F2MC16LX
  • Fujitsu FR 32-biters familie
  • Hitachi SH3 / SH3B / SH4 / SH4B
  • Hitachi H8: h8300 / h8300a / h8s300 / h8500
  • Intel 196-serien: 80196 / 80196NP
  • Intel 51-serien: 8051 / 80251b / 80251s / 80930b / 80930s
  • Intel i960-serien
  • Intel Itanium Series (ia64)
  • Java virtuell maskin
  • MIPS: mipsb / mipsl / mipsr / mipsrl / r5900b / r5900l
  • Mikrochip PIC: PIC12Cxx / PIC16Cxx / PIC18Cxx
  • MSIL
  • Mitsubishi 7700 familie: m7700 / m7750
  • Mitsubishi m32 / m32rx
  • Mitsubishi m740
  • Mitsubishi m7900
  • DSP 5600x familie: dsp561xx / dsp5663xx / dsp566xx / dsp56k
  • Motorola ColdFire
  • Motorola HCS12
  • NEC 78K0 / 78K0S
  • PA-RISIKO
  • PowerPC
  • SGS-Thomson ST20 / ST20c4 / ST7
  • SPARC familie
  • Samsung sam8
  • Siemens C166-serien
  • TMS320Cxxx-serien

• Kompilatorer / biblioteker (for automatisk gjenkjenning av funksjoner)
  • Borland C ++ 5.x for DOS / Windows
  • Borland C ++ 3.1
  • Borland C Builder v4 for DOS / Windows
  • GNU C ++ for Cygwin
  • Microsoft C
  • Microsoft QuickC
  • Microsoft Visual C ++
  • Watcom C ++ (16/32 bit) for DOS / OS2
  • ARM C v1.2
  • GNU C ++ for Unix / common

Merknader og referanser

1. (in) "  FLIRT Compiler Support  " , Hex-Rays

Se også

Bibliografi

• (no) Eldad Eilam , Reversing: Secrets of Reverse Engineering , Indianapolis, Wiley Publishing,2005, 624  s. , lomme ( ISBN  978-0-7645-7481-8 , LCCN  2005921595 , les online ) , s.  595
• (no) Chris Eagle , IDA Pro Book: Den uoffisielle guiden til verdens mest populære disassembler , San Francisco, No Starch Press,2011, 2 nd  ed. , 672  s. ( ISBN  978-1-59327-289-0 , LCCN  2011293604 , les online )

Eksterne linker

• (no) Den offisielle IDA Pro-siden
• (en) OpenRCE.org: En stor samling med plugin-moduler og skript for IDA
• (in) Last ned: Versjon 7.0 av IDA Freeware