IDA 7.6
亮點(diǎn)
Apple Silicon支持
IDA for macOS現(xiàn)在可以作為一個(gè)原生的ARM64二進(jìn)制文件使用����,它可以充分利用M1芯片的驚人性能���。
IDA從新的速度提升中獲益良多,這一點(diǎn)難以言表�。自動(dòng)分析完成得更快,用戶界面明顯更敏捷��,在M1上運(yùn)行時(shí)�����,IDA中的幾乎所有其他功能都顯得更流暢���。我們的測(cè)試人員報(bào)告說(shuō)����,IDA 7.6在Apple Silicon上 "非常穩(wěn)定",而且 "速度快得多"--因此�����,我們的興奮似乎沒(méi)有錯(cuò)���。
M1上也支持調(diào)試原生arm64進(jìn)程����,包括arm64e�����。
IDA 的原生 ARM 版本可提供給所有擁有有效 Mac 許可的用戶(包括 IDA Home用戶)��。
Golang分析
Google的Go語(yǔ)言(又名golang)由于其易用性��、性能和無(wú)需依賴性的自帶二進(jìn)制文件而越來(lái)越受歡迎���。由于語(yǔ)言設(shè)計(jì)者的一些決定�����,golang的二進(jìn)制文件與其他編譯器制作的二進(jìn)制文件有很大的不同����,因此需要對(duì)IDA進(jìn)行一些修改,以適當(dāng)?shù)刂С炙奶厥庑浴?/span>
其中增加了:
l 解析golang特定的元數(shù)據(jù)以恢復(fù)函數(shù)名稱和邊界�����。
l 支持基于堆棧的參數(shù)和返回值����,即使在通常使用寄存器的平臺(tái)上也是如此(ARM, x64)�����。
l golang特定字符串字元的檢測(cè)
這是IDA 7.5中ARM剝離的golang二進(jìn)制代碼的示例:
在7.6中:
恢復(fù)和命名的功能幾乎是原來(lái)的兩倍���。
反編譯器改進(jìn)
l 自動(dòng)重命名變量
盡管交互性是IDA的賣點(diǎn)�����,但它仍會(huì)嘗試盡可能多地自動(dòng)化平凡的任務(wù)�����。在此版本中��,反編譯器將嘗試根據(jù)分配和函數(shù)調(diào)用為變量和結(jié)構(gòu)字段自動(dòng)分配名稱����。
從相同二進(jìn)制文件的反編譯中看到兩個(gè)片段。左:IDA 7.5����,右:7.6。
l 提高對(duì)堆棧陣列的識(shí)別
堆棧上的數(shù)組很難自動(dòng)檢測(cè)���,因?yàn)橥ǔH顯式地引用其第一個(gè)元素�。我們添加了啟發(fā)式方法����,可以在許多典型情況下恢復(fù)陣列,從而減少了手動(dòng)干預(yù)的需求����。
l 空行以提高可讀性
如果在hexrays.cfg中添加GENERATE_EMPTY_LINES = YES,則反編譯器將在復(fù)合語(yǔ)句之間和標(biāo)簽之前添加多余的空行��,從而提高了長(zhǎng)函數(shù)的可讀性����。
新的處理器模塊:RISC-V和RL78
我們的處理器選擇將繼續(xù)穩(wěn)定增長(zhǎng)�。
l RISC-V是一種開放式ISA��,已開始在各種硬件中使用����,例如Espressif Systems無(wú)線平臺(tái)的最新版本ESP32-C3。
l Renesas公司的RL78是IDA之前支持的8位NEC 78k0(s)系列的16位后裔�,用于各種汽車和消費(fèi)類應(yīng)用。
書簽
我們還添加了一些新功能���,以豐富UI中的書簽管理����。
和以前一樣����,您可以使用Alt-M / Ctrl-M來(lái)添加/跳轉(zhuǎn)到書簽����,但是現(xiàn)在您還可以使用Ctrl-Shift-M來(lái)顯示一個(gè)單獨(dú)的書簽視圖,其中包含可以分組為書簽的全局列表�。資料夾:
此外,書簽化的地址現(xiàn)在將在反匯編中突出顯示�。您可以使用選項(xiàng)>顏色將突出顯示顏色更改為所需的任何顏色:
其他UI改進(jìn)
l 現(xiàn)在使用文件夾視圖來(lái)組織“加載文件”對(duì)話框中的處理器列表���,可以使用Ctrl-F進(jìn)行過(guò)濾
l 您現(xiàn)在可以在文件夾視圖中使用剪切和粘貼,而不用用鼠標(biāo)拖動(dòng)?xùn)|西
l 現(xiàn)在����,“字符串”列表已緩存在數(shù)據(jù)庫(kù)中。字符串窗口是IDA中用于快速偵察的最常用視圖之一��。但是��,根據(jù)設(shè)置的不同���,掃描整個(gè)數(shù)據(jù)庫(kù)可能要花費(fèi)很長(zhǎng)時(shí)間�,而每次重新打開窗口或重新加載數(shù)據(jù)庫(kù)時(shí)��,都必須重復(fù)此過(guò)程?���,F(xiàn)在我們緩存列表,因此第二次打開列表幾乎是即時(shí)的�。
壓縮的macOS和iOS內(nèi)核緩存支持
在最新的iOS和macOS版本中,kernelcache文件已壓縮���。盡管有可用的工具可以解壓縮它們��,但還需要記住一件事?,F(xiàn)在,IDA透明地處理標(biāo)準(zhǔn)壓縮格式����,因此您只需將它們作為標(biāo)準(zhǔn)Mach-O文件加載即可。由于IDA還可以處理ZIP文件����,因此您可以直接從IPSW更新中打開它們!
重定型處理
Retpoline是針對(duì)2017年披露的Spectre投機(jī)執(zhí)行漏洞的一種編譯時(shí)緩解措施�����。使用該選項(xiàng)編譯的二進(jìn)制文件使用特殊的thunk函數(shù)進(jìn)行間接跳轉(zhuǎn)��,這往往會(huì)破壞標(biāo)準(zhǔn)的控制流分析����。IDA現(xiàn)在可以透明地檢測(cè)和處理這些thunks�����,從而獲得漂亮而干凈的函數(shù)圖和偽代碼。
使用retpoline thunks的二進(jìn)制示例��。
在IDA 7.5中:
在7.6:
Python 3.9 支持
Python 3.9在IDA 7.5之后發(fā)布��,并更改了一些內(nèi)部結(jié)構(gòu)的布局��,導(dǎo)致使用PyQt的腳本或插件崩潰��。IDA 7.6增加了對(duì)3.9的官方支持(同時(shí)仍支持以前的3.x版本和2.7)����。Python 3.9.1也正式可用于ARM64上的macOS,并可供IDA在此使用��。
