芬达哈希
在哈希算法上,比Findcrypt更好的检测工具,同时生成Frida hook代码。
使用方法
把findhash.xml和findhash.py放到ida插件目录下
ida -edit-plugin-findhash
试图解决的问题
哈希函数的初始化魔数被修改
想快速验证所分析的函数中是否使用了MD5,SHA1,SHA2这些哈希算法。
Findcrypt / Signsrch没发现来
可以应对如下各种findcrypt发现或哈希函数被魔改的情况
原理
通过正则表达式校正伪伪C代码中的初始化魔数代码以及哈希运算函数,很粗鲁暴力,所以运行时间会比较长,因为要反编译所有函数,但对哈希算法的检测上效果非常好。
去做
适应arm64
增加对特征常量立即数的搜索
根据相关理论,高占比的位运算指令以及循环,是加解密算法难以抹去的结构特征。
2021-12-09 21:16:37
184KB
Python
1