大数跨境

IDA Pro 9 SP1 安装和插件配置

IDA Pro 9 SP1 安装和插件配置 白帽黑客KK
2025-03-12
313

前言

长期使用IDA 7.7后计划升级至IDA 9,虽完成安装但IDAPython环境与插件配置不顺畅。本文介绍IDA Pro 9.0.241217 SP1的安装流程、IDAPython配置方法及常用插件的获取与安装方式。

IDA9 SP1 安装

参考以下步骤完成安装:

  1. 运行ida-pro_90sp1_x64win.exe进行安装
  2. 修改IdaPro9Beta-Keygen-iRabbit.py部分内容,并复制到IDA根目录
  3. 执行Keygen脚本,自动完成补丁
  4. 修改生成的patched文件后缀,替换ida.dll和ida32.dll(建议备份原文件)

Windows平台需patch ida.dll和ida32.dll,成功输出如下:

优化设置

使用经典快捷键

IDA 9默认启用新快捷键,可在Options > Shortcuts中取消勾选“Use new shortcuts”以恢复旧版操作习惯。

开启操作码显示

进入Options > General > Number of opcode bytes,设置为10可满足多数场景需求。

插件安装

IDAPython

IDAPython依赖官方Python解释器运行,推荐版本为Python 3.10或3.11(兼容范围3.8–3.13)。IDA 9中PyQt5目录包含对应版本库文件,图形化插件需匹配Python环境。

原使用IDA 7.7的Python 3.8环境时,findcrypt等插件报错。升级至Python 3.11后稳定性提升。下载地址:

https://www.python.org/ftp/python/3.11.9/python-3.11.9-amd64.exe

建议将Python安装至IDA根目录并命名为python311(无需添加系统环境变量)。

安装完成后,运行IDA根目录下的idapyswitch工具配置Python路径。

Plugins

插件
功能
LazyIDA
快速提取数据
Keypatch
指令修补便捷
Patching
十六进制数据修补
findcrypt-yara
识别常见加密算法
auto-enum
恢复API枚举常量
Hrtng
括号高亮、反OLLVM、栈字符串识别等
D810
去OLLVM混淆(Hrtng已集成)
classinformer
基于RTTI恢复C++类结构信息
deREferencing
调试时追踪寄存器与栈内容
HexRaysCodeXplorer
结构体识别、虚函数展示、函数树生成
DataExportPlus
增强型数据导出
bindiff
二进制差异分析与符号恢复

LazyIDA

项目地址:https://github.com/L4ys/LazyIDA

将LazyIDA.py复制至plugins目录即可使用。

Keypatch

需先安装keystone-engine与six模块(Python 3.11自带six):

1
2
python -m pip install keystone-engine
python -m pip install six

注意:应安装keystone-engine而非keystone。

适配IDA 9的版本见:https://bbs.kanxue.com/thread-282852.htm

将Keypatch.py放入plugins目录。

Patching

项目地址:https://github.com/gaasedelen/patching

将Patching文件夹及Patching.py复制至plugins目录。

findcrypt-yara

需安装yara-python(非yara):

1
python -m pip install yara-python

项目地址:https://github.com/polymorf/findcrypt-yara

将findcrypt3.py与findcrypt3.rules复制至ida/plugins目录。注意:不支持Python 3.8。

D810

若已安装Hrtng可跳过此插件。

需安装z3-solver:

1
python -m pip install z3-solver

克隆项目:

1
git clone https://gitlab.com/eshard/d810.git

将d810文件夹及d810.py复制至plugins目录。

auto-enum

项目地址:https://github.com/junron/auto-enum

将plugin目录下所有文件复制至ida/plugins。

Hrtng

提供括号高亮、反OLLVM、栈字符串识别等功能。

项目地址:https://github.com/KasperskyLab/hrtng

解压release包后,复制plugins/windows/9.0/hrtng.dll至ida/plugins目录。

classinformer

项目地址:https://github.com/herosi/classinformer

用于C++反编译中恢复类结构信息(如继承关系、类名等)。

将Classinformer64.dll复制至ida/plugins目录。

deREferencing

项目地址:https://github.com/danigargu/deREferencing

调试时追踪寄存器与栈指向内容。

将dereferencing.py复制至ida/plugins目录。

HexRaysCodeXplorer

实现结构体自动识别、C++虚函数展示、函数调用树生成等功能。

DataExportPlus

项目地址:https://github.com/Krietz7/IDA-DataExportPlus

findhash

项目地址:https://github.com/Pr0214/findhash

用于识别被修改的哈希算法。

将findhash.xml与findhash.py复制至plugins目录。

WPeChatGPT

基于Gepetto开发的AI辅助插件。

安装和使用插件

  1. 安装依赖:

    1
    python -m pip install -r ~\WPeChatGPT-main\requirements.txt

    requirements.txt内容:

    1
    2
    3
    openai >= 0.27.0
    anytree
    httpx
  2. 修改WPeChatGPT.py配置:

    支持OpenAI与DeepSeek模型,通过修改PLUGIN_NAME与model_api_key切换。因OpenAI API申请困难且DeepSeek暂停注册,推荐使用火山引擎API。

    添加自定义模型接入示例:

    1
    client = openai.OpenAI(base_url="https://ark.cn-beijing.volces.com/api/v3", api_key=model_api_key)
  3. 将WPeChatGPT.py与Auto-WPeGPT_WPeace复制至ida/plugins目录。

    使用效果如下:

申请API

推荐使用火山引擎,部分模型赠送50万免费Token:

https://www.volcengine.com

在模型广场选择所需模型,点击“立即体验”后切换至API接入模式。

创建API Key并妥善保存(切勿泄露)。

进入“自定义推理接入点”创建接入点,设置名称与模型。

创建完成后复制模型ID与API Key,填入插件配置文件中,重启IDA生效。

问题-bindiff(已解决)

将binexport12_ida64.dll与bindiff8_ida64.dll复制至ida/plugins或用户目录下的Hex-Rays插件路径:

C:\Users\用户名\AppData\Roaming\Hex-Rays\IDA Pro\plugins

支持32位与64位样本分析。

若出现加载错误,可能是IDA 7.7与9.0设置冲突所致。建议备份旧版配置后删除该目录下相关文件。

目前官方未发布完整支持SP1的Bindiff版本,可尝试RC1适配版:

https://github.com/zhefox/Bindiff_for_IDA9.0

直装

解压IDA Professional 9.0.7z后,运行idapyswitch设置Python路径即可使用:

1
idapyswitch.exe --force-path ./python311/python3.dll

首次启动时选择“No”以禁用新快捷键,随后点击“Agree”接受许可协议。

更新提示可直接点击OK跳过。

【声明】内容源于网络
0
0
白帽黑客KK
1234
内容 31
粉丝 0
白帽黑客KK 1234
总阅读594
粉丝0
内容31