2014 CodeEngn Conference 10
IDA 분석 정보를 공유합시다!
분석 할때 한명이 혼자서 모든 것을 다 하던 시대는 난독화되거나 대용량 바이너리에 의해 위기를 맞이하고 있다. 이를 위해 여러명의 분석가가 협업할 수 있는 솔루션을 제시하고 향후 코드엔진의 주요 서비스로 자리잡기 위한 방법을 이야기 하고자 한다.
http://codeengn.com/conference/10
http://codeengn.com/conference/archive
7. CodeShare
ü GET.PHP : 분석 정보 추출
IDB분석가 김씨
IDA Pro
IDA Python
ü Alt + F7 : Script Load
ü CodeShare.py
- GET or SET Reverse Information
RCEHUB
ü SET.PHP : 분석 정보 저장
ü MOD.PHP : WEB 작업용!
[Ctrl+4]This function : DB -> IDB
[Ctrl+5]This function : IDB -> DB
[Ctrl+6]This function : IDB(raw) -> DB
[Ctrl+7]ALL function : DB -> IDB
[Ctrl+8]ALL function : IDB -> DB
[Ctrl+9]ALL function : IDB(raw) -> DB
Function
Comment
Code
8. CodeShare
[Ctrl+4]This function : DB -> IDB
ü 마우스 포인터가 클릭한 위치의
함수 한 개에 대한 MD5 추출
ü 함수 A
ü 함수 B Function
Comment
Code
ü Function
Name
ü Comment
ü Offset
ü Function
MD5
9. CodeShare
[Ctrl+5]This function : IDB -> DB
ü 마우스 포인터가 클릭한 위치의
함수 한 개에 대한 MD5, 이름,
주석 정보를 추출
ü 함수 A
ü 함수 B Function
Comment
Code
ü Function MD5
ü Function Name
ü Comment
ü Offset
10. CodeShare
[Ctrl+6]This function : IDB(raw) -> DB
ü 마우스 포인터가 클릭한 위치의
함수 한 개에 대한 MD5, 이름,
디스어셈블 코드, 주석 정보를
추출
ü 함수 A
ü 함수 B Function
Comment
Code
ü Function MD5
ü Function Name
ü Disassemble Code
ü Comment
ü Offset
11. CodeShare
[Ctrl+7]ALL function : DB -> IDB
[Ctrl+8]ALL function : IDB -> DB
[Ctrl+9]ALL function : IDB(raw) -> DB
ü 함수 A
ü 함수 B
Function
Comment
Code
ü Function MD5
ü Function Name
ü Disassemble Code
ü Comment
ü Offset
ü Function MD5
ü Function Name
ü Disassemble Code
ü Comment
ü Offset