FireEye公司發佈了一些逆向插件,即stack_strings插件,該插件是棧字符串識別插件,可以自動識別棧上局部變量爲字符串的插件,字符串形式如下,並自動的加上註釋。
項目主頁地址: https://github.com/fireeye/flare-ida
該項目有4個插件 本文介紹 stack_strings插件
首先項目使用了vivisect模塊,所以在使用該插件之前需要先讓Python安裝好vivisect模塊,由於vivisect項目不是用兼容setuptools的setup.py文件分發的,所以需要自己下載vivisect的源代碼目錄,並將其放入你的Python安裝路徑的Lib目錄下,其中vivisect源代碼可以到github上下載
https://github.com/vivisect/vivisect
下載後將起拷貝到python的lib目錄下,然後配置環境變量PYTHONPATH,
下面開始安裝stack strings,打開flare-ida.zip壓縮包,將裏面的stackstring.py拷貝到%IDADIR%\python目錄下;然後再將壓縮包裏的stackstrings_plugin.py拷貝到%IDADIR%\plugins目錄下,這樣就完成了stack strings的安裝。爲了簡便也可以直接將火眼所有插件複製到對應目錄,完了之後在IDA裏運行腳本,運行結果如下,識別出了棧上的字符串
