Hex-rays 每年都会为 IDA 举办插件大赛,该大赛每年都会涌现出各种类型的插件,有安全团队也有个人安全研究员,为了解决各种问题从而开发各种插件。2024 年的插件大赛一共入围了二十款插件。评审团最终评出的前三名为:
🥇hrtng
🥈aiDAPal
🥉idalib Rust bindings
以下是本届插件大赛上二十款插件的简要介绍:
aiDAPal
aiDAPal是一个针对IDA伪代码进行微调的、本地运行的大模型辅助代码分析插件。该插件可以提供对伪代码的解释、变量的重命名等功能,为复杂函数提供易懂的概述表达。受限于硬件条件,该插件目前生成速度较慢,但显示了AI时代逆向分析工作流的巨大潜力。
https://plugins.hex-rays.com/aidapalAssemport
将IDB中的函数单独导出到独立文件的插件,该插件只输出函数的第一个基本块,后续基本块会被忽略。
https://github.com/Bizarrus/AssemportCommunity_base
用户脚本与IDA Python API间的润滑剂,在API发生变更时,社区适应后对外提供统一的接口,用户脚本就不需要再修改。
https://plugins.hex-rays.com/Community_baseDelphi Helper
Delphi Helper是辅助分析使用Delphi编写的Windows程序文件。它可以解析并格式化RTTI结构并将标准函数重命名、解析已编译的DFM、支持新版Delphi的IDR签名。
https://github.com/eset/DelphiHelperGraffiti
创建自定义调用图的插件,跟踪文件中各部分的交叉引用和链接跳转。该插件能够与多种IDA和开发人员工具集成使用。
https://github.com/yoavst/Graffitihexhinlay
自动为函数调用参数注解名称,丰富反编译器的输出信息的插件。
https://github.com/milankovo/hexinlayhrtng
卡巴斯基出品的多功能插件,支持解密、去混淆、库函数识别以及伪代码转换等,每个功能都提供了视频的使用说明。自动控制流平坦化令评委会印象深刻。
https://github.com/KasperskyLab/hrtngIDA-Notepad-Plus
替换IDA默认的记事本功能,可以为每个IDA窗口或者每个函数创建一个独立的记事本。
https://github.com/singleghost2/IDA-Notepad-plusidalib Rust bindings
IDA公共API的Rust接口,支持用户用Rust编写基于IDA SDK的独立工具。通过接口支持查询有关文件的任何信息、生成任意函数的伪代码等功能,对构建批量分析能力很有价值。目前尚未全面覆盖所有IDA的API,但仍然是一个好的起点。
https://github.com/binarly-io/idalibIDAscope
IDAScope将NeoVim与IDA集成,从而直接从Neovim有效地利用IDA的功能。支持通过模糊搜索查看伪代码、汇编代码,也支持将反编译代码导出。
https://plugins.hex-rays.com/assets/contest2024/idascope-main.zipIDAxLM
2023年插件大赛冠军的新作,能够使用大模型提示的插件。该插件支持多个大模型(OpenAI、Mistral、Groq),通过大模型为函数增加注释或者生成等效代码等。
https://plugins.hex-rays.com/assets/contest2024/IDAxLM.zipinstrlen
instrlen支持更改数据库中指令的有效长度为自定义值,与解码的实际长度无关。这在处理带有模糊代码的文件时非常有用,但目前只能手动处理。
https://github.com/milankovo/instrlenLabSync
LabSync用于在分析相同文件的不同用户间同步IDB数据库,同步函数名称等重要信息给所有分析人员。
https://github.com/cellebrite-labs/LabSyncMnemocrypt
使用随机森林检测识别32位x86文件中的加密函数,为不同置信度的函数提供不同的颜色标识。
https://github.com/theneonai/mnemocryptNavcolor
该插件通过位函数提供不同的着色来增强导航栏,为函数和反汇编情况提供快速导览。
https://github.com/milankovo/navcolorRevEng.AI
AI驱动的二进制分析平台的接口,用户上传二进制文件可以在云端进行识别,返回壳信息、恶意判断和漏洞情况等。
https://plugins.hex-rays.com/assets/contest2024/reai-ida-1.2.0.zipShannon
分析Shannon基带的插件,大大节省分析人员的时间。
https://github.com/alexander-pick/shannon_modem_loaderUnknown Cyber
Unknown-Cyber
-Inc在云上提供了分析样本相似性和生成Yara规则的功能,该插件是该功能的API接口。
https://github.com/Unknown-Cyber-Inc/idaXrefer
该插件用于辅助静态分析,可以导入大量信息也能够与大模型集成。
https://github.com/mandiant/xreferYaraVM
用于分析已编译Yara规则的插件。
https://github.com/milankovo/YaraVM点击查看原文跳转 Hex-Rays 官网。