IDA Pro (software)

IDA Pro

Em formação

Desenvolvido por	Hex-Rays
Última versão	7,1 (27 de fevereiro de 2018)
Escrito em	C ++
Meio Ambiente	Linux , Mac OS X , Windows
línguas	inglês
Modelo	Desmontador
Licença	Software proprietário
Local na rede Internet	www.hex-rays.com

O desmontador interativo ( I nteractive D é um ssembler), mais conhecido como IDA Pro , é um desmontador comercial amplamente utilizado em engenharia reversa . Ele oferece suporte a uma ampla variedade de formatos executáveis ​​para diferentes processadores e sistemas operacionais .

Descrição

Embora o IDA Pro seja capaz de realizar, em grande medida, análise automática de código (incluindo melhorar o reconhecimento de referências cruzadas dentro de seções de código, conhecimento de parâmetros de chamada de API e mais. Informações), o código de montagem obtido do binário não pode seja perfeito. A intervenção humana é necessária para concluir uma varredura binária. Sua principal vantagem sobre outros desmontadores como objdump ou ndisasm (por exemplo) é ser interativo. Com efeito, temos aqui a possibilidade de navegar no código ASM obtido e de o anotar ou melhorar (um desmontador, seja ele qual for, pode confundir código e dados, por exemplo).

Um uso típico do IDA Pro seria a verificação de malware. Para fazer isso, um usuário que deseja realizar uma análise de código binário com o IDA Pro começará abrindo o arquivo a ser estudado. O IDA Pro se encarregará de realizar sua análise automática, ela começa com a conversão da linguagem de máquina (binária) em linguagem assembly. À medida que as instruções vão sendo desmontadas, vai anotando, renomeando e acrescentando as informações que julgar necessárias. Esta análise automática permite que o analista tenha uma melhor visualização do binário desmontado, ele terá a função de aprimorar o banco de dados do IDA Pro. Obviamente, existem outros usos do IDA Pro; afinal, ele é um software de engenharia reversa avançado. É usado em particular para fins legais, como a pesquisa de vulnerabilidades (brechas de segurança) ou para analisar protocolos fechados a fim de reimplementá-los para fins de interoperabilidade. De fato, protocolos fechados como .doc, por exemplo, tiveram que ser desmontados para serem suportados pelo LibreOffice. A análise das atualizações dos editores também é importante analisar dada sua tendência a fazer "correções silenciosas" ou a modificar seu programa sem notificar o usuário no log de modificações. Ele também é usado para fins menos nobres, como piratear software.

Também deve ser observado que o IDA Pro também funciona como um depurador , além do módulo de desmontagem . Na verdade, vários mecanismos de depuração são suportados pelo IDA Pro: GDB, Microsoft WinDBG, Bochs x86 e muitos outros. Isso permite depurar um programa Linux do Windows, por exemplo.

Criado como shareware por Ilfak Guilfanov , o IDA Pro posteriormente se tornou um software comercial produzido pela DataRescue, uma empresa belga, que mantém e oferece suporte a uma versão aprimorada chamada IDA Pro. Além da versão comercial, DataRescue sempre manteve uma versão gratuita do software (geralmente uma versão mais antiga).

Ilfak Guilfanov deixou a DataRescue e tem desenvolvido desdeagosto de 2007 IDA para sua empresa, Hex-Rays.

A partir da versão 6.0, uma nova interface desenvolvida em Qt padroniza as versões Windows, Linux e MacOS do software.

Sistemas / processadores / compiladores com suporte

• Sistema operacional
  • GUI do Windows x86
  • console x86 do Windows
  • GUI Linux x86
  • console x86 Linux
  • GUI do Mac OS X x86
  • console x86 Mac OS X
  • Arquitetura ARM do Windows CE
• Arquivos executáveis
  • PE (Windows)
  • ELF (Linux, a maioria * BSD)
  • Mach-O (Mac OS X)
  • Netware. Exe
  • OS / 2 .exe
  • Geos .exe
  • Executável Dos / Watcom LE (sem DOS estendido)
  • Arquivos binários brutos, como imagens ROM

• Processadores
  • Família Intel 80x86
  • ARM incluindo conjunto de instruções Thumb
  • ARM64 (AArch64)
  • Motorola 68xxx / h8
  • Zilog Z80
  • Tecnologia MOS 6502
  • Intel i860
  • DEC Alpha
  • Dispositivos analógicos ADSP218x
  • Angstrem KR1878
  • Atmel AVR series
  • DEC série PDP11
  • Fujitsu F2MC16L / F2MC16LX
  • Família Fujitsu FR de 32 bits
  • Hitachi SH3 / SH3B / SH4 / SH4B
  • Hitachi H8: h8300 / h8300a / h8s300 / h8500
  • Intel série 196: 80196 / 80196NP
  • Intel série 51: 8051 / 80251b / 80251s / 80930b / 80930s
  • Intel i960 Series
  • Intel Itanium Series (ia64)
  • Máquina Virtual JAVA
  • MIPS: mipsb / mipsl / mipsr / mipsrl / r5900b / r5900l
  • Microchip PIC: PIC12Cxx / PIC16Cxx / PIC18Cxx
  • MSIL
  • Família Mitsubishi 7700: m7700 / m7750
  • Mitsubishi m32 / m32rx
  • Mitsubishi m740
  • Mitsubishi m7900
  • Família DSP 5600x: dsp561xx / dsp5663xx / dsp566xx / dsp56k
  • Motorola ColdFire
  • Motorola HCS12
  • NEC 78K0 / 78K0S
  • PA-RISC
  • PowerPC
  • SGS-Thomson ST20 / ST20c4 / ST7
  • Família SPARC
  • Samsung sam8
  • Siemens C166 series
  • TMS320Cxxx series

• Compiladores / Bibliotecas (para reconhecimento automático de funções)
  • Borland C ++ 5.x para DOS / Windows
  • Borland C ++ 3.1
  • Borland C Builder v4 para DOS / Windows
  • GNU C ++ para Cygwin
  • Microsoft C
  • Microsoft QuickC
  • Microsoft Visual C ++
  • Watcom C ++ (16/32 bits) para DOS / OS2
  • ARM C v1.2
  • GNU C ++ para Unix / common

Notas e referências

1. (em) "  Suporte ao compilador FLIRT  " , Hex-Rays

Veja também

Bibliografia

• (pt) Eldad Eilam , Reversing: Secrets of Reverse Engineering , Indianapolis, Wiley Publishing,2005, 624  p. , pocket ( ISBN  978-0-7645-7481-8 , LCCN  2005921595 , ler online ) , p.  595
• (pt) Chris Eagle , The IDA Pro Book: The Unofficial Guide to the World Most Popular Disassembler , San Francisco, No Starch Press,2011, 2 nd  ed. , 672  p. ( ISBN  978-1-59327-289-0 , LCCN  2011293604 , leia online )

links externos

• (pt) A página oficial do IDA Pro
• (en) OpenRCE.org: Uma grande coleção de plug-ins e scripts para IDA
• (in) Download: Versão 7.0 do IDA Freeware