HexRaysPyTools

17-18 ноября 2016 года прошла международная конференция по кибербезопасности ZeroNights'2016. Игорь Кириллов, исследователь безопасности в Digital Security, выступил с докладом "HexRaysPyTools" в секции FastTrack.

В рамках данного доклада был представлен плагин для декомпилятора Hex-Rays. Плагин является попыткой решения проблемы реконструкции и понимания работы сложных структур. Позволяет автоматически проанализировать большое количество кода, собрать информацию об обращении к полям и посещать места, где к ним происходит обращение. После финализации структуры её тип применяется везде, куда дотянулось сканирование. Также детектирует виртуальные таблицы, собирает все классы в отдельном меню и помогает переименовывать и изменять сигнатуры виртуальных функций. Помимо этого помогает работать с отрицательными смещениями, подбирая список подходящих расширенных структур и вставляя в листинг CONTAINING_RECORD макроc. Строит граф взаимосвязи между типами из LocalTypes и имеет несколько возможностей по быстрому модифицированию дизассемблированного листинга.

Скачать презентацию