IDA 插件大赛 2022

Hex-rays 每年都会为 IDA 举办插件大赛，该大赛每年都会涌现出各种类型的插件，有安全团队也有个人安全研究员，为了解决各种问题从而开发各种插件。今年的插件大赛一共入围了九款插件。评审团最终评出的前三名为：

• ttdbg
• ida_kcpp
• FindFunc

以下是本届插件大赛上九款插件的简要介绍：

Condstanta

该插件用于搜索条件语句中的常量，不论是 if 还是 switch-case 语句都可以。

Condstanta

https://github.com/Accenture/Condstanta

FindFunc

该插件用于使用特定代码模式或者特定字节模式匹配发现函数，目前针对 x86/x64 架构，但也支持其他架构。

FindFunc

https://github.com/FelixBer/FindFunc

FirmLoader

该插件解决了 SVD 插件的缺陷，不仅读写 XML 更具有优势，而且能够更方便地浏览制造商/设备列表。这样在分析固件时，可以获得更多便利。

FirmLoader

https://github.com/Accenture/FirmLoader

ida_bochs_windows

该插件可用于在 Bochs 调试时加载模块与符号信息，方便调试。

ida_bochs_windows

https://github.com/therealdreg/ida_bochs_windows

ida_kcpp

该插件基于 ida_kernelcache 插件的分析结果，使研究人员可以更方便地对 iOS 内核缓存进行逆向工程。在分析特别复杂的，例如包含几十个超类与虚函数的类时，都能够表现良好。

ida_kcpp

https://github.com/cellebrite-labs/ida_kcpp

ida_names

该插件使用函数名重命名伪代码窗口，这对打开非常多个窗口的用户来说非常有用。

ida_names

https://github.com/archercreat/ida_names

quokka

该插件为导出工具，将 IDA 分析的信息进行导出。另外还提供了对应的 Python 库，可以批量处理这些导出文件，并且利用 Capstone 与 pypcode 进行辅助逆向工程。

quokka

https://github.com/quarkslab/quokka

ttddbg

该插件可以读取由 WinDBG 或 Visual Studio 生成的 Time Travel Debugging traces，使调试更容易。

ttddbg

https://github.com/airbus-cert/ttddbg

VulFi

该插件根据规则帮助分析人员进行漏洞发现，该插件的作者与 Condstanta 插件的作者都是埃森哲的 Martin Petran。