Find crypto constants IDA 7.x plugin
Plugin này được phát triển dựa trên findcrypt1 và findcrypt2 của Ilfak của HexRays.
Bài trên blog về findcryptx origin của HexRays:
Có tham khảo source code, idea và các consts từ:
- https://github.com/you0708/ida/tree/master/idapython_tools/findcrypt
- https://github.com/d3v1l401/FindCrypt-Ghidra
Còn lại, tôi sưu tập, collect các crypto consts (table, sparse_const, nonsparse_const, opcode_const...) từ nhiều nguồn khác nhau:
- CryptoPP library https://github.com/weidai11/cryptopp
- LibTomCrypt https://github.com/libtom/libtomcrypt
- ASM CryptoHash of drizz
- Delphi DCPCrypto Lib
Tạm thời plugin vẫn chưa hoàn thiện, vẫn trong giai đoạn fix lại code và optimize speed. Nhưng đã tạm chạy được.
Các bạn nên dùng thêm 2 plugin sau để scan IDA database khi bắt đầu phân tích:
-
Plugin IDA Signsrch của simabus: https://sourceforge.net/projects/idasignsrch/
-
Findcrypt Yara: https://github.com/polymorf/findcrypt-yara
- Add chooser show result crypto scan
- Add menu commant "Crypto consts..." ở Search menu của IDA
- Scan opcode với opcode_consts
- Optimize speed tối đa có thể.
Then, bét rì ga :D