freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Karta:一款功能强大的IDA源代码辅助插件
2021-10-09 12:21:27

关于Karta

Karta是一款功能强大的IDA Python插件,该工具可以识别并匹配给定代码中的开源代码库。该插件使用了一种独特的技术,使其能够支持大型二进制文件(>200000个函数),而同时几乎不会影响整体性能。

Karta所使用的匹配算法是位置驱动的,这意味着它的主要焦点是定位不同的编译文件,并根据文件中的原始顺序匹配每个文件的函数。这种匹配方式依赖于开源函数的数量K,而不是二进制文件的大小N,因此可以实现显著的性能提升。

使用场景

我们认为Karta这个IDA插件有三大使用场景:

搜索目标文档,确定已使用的开源代码库列表(包含版本信息);

匹配支持的开源库及其中的符号,以帮助对恶意软件进行逆向工程分析;

匹配支持的开源库及其中的符号,以帮助在专用代码中搜索特定代码,实现针对二进制/固件的逆向工程分析;

项目目录结构

src:插件的源代码目录

configs:预置的*JSON配置文件

compilations:生成配置文件的编译提示,以及从过去的开源代码中获得的经验教训

docs:Sphinx文档目录

Karta识别器

Karta的识别器是一个较小的插件,用于标识二进制文件中现有(受支持的)开源库积起版本。因此,我们不再需要一次又一次地对同一个开源库进行逆向工程分析,我们只需要运行Karta识别器插件即可获得所用开源库的详细列表。Karta目前支持10多个开源库,其中包括:

OpenSSL

Libpng

Libjpeg

NetSNMP

zlib

其他

Karta匹配器

识别目标代码所使用的开源代码库后,可以为特定库编译.JSON配置文件(例如libpng版本1.2.29)。编译后,Karta将自动尝试在加载的二进制文件中匹配开源代码库的函数或符号。除此之外,如果你的开源项目使用了外部函数(memcpy、fread或zlib_inflate),Karta也会尝试匹配这些外部函数。

工具安装

(Python 3 & IDA >= 7.4)

如需安装最新版本的Karta,我们需要本地环境配置好Python 3,然后使用下列命令将该项目源码克隆至本地:

git clone https://github.com/CheckPointSW/Karta.git

接下来,运行下列命令来运行Karta的安装脚本:

setup.py install

(Python 2 & IDA < 7.4)

在IDA 7.4发布时,Karta仅针对IDA 7.4或更新版本以及Python 3开发。Python2和更早的IDA版本仍然支持Karta v1.2.0版本,这很可能是Python2.X生命周期结束后最后一个受支持的版本。

项目地址

Karta:GitHub传送门

参考资料

https://karta.readthedocs.io/

https://research.checkpoint.com/karta-matching-open-sources-in-binaries/

https://research.checkpoint.com/thumbs-up-using-machine-learning-to-improve-idas-analysis

https://twitter.com/EyalItkin

# 代码安全 # 代码安全检测 # IDA插件
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录