一、安装IDA9.0中文版
前提是需要安装插件中的 python包:python-3.11.9-amd64.exe
然后再安装IDA Professional 9.0中文版
二、IDA插件安装
1.IDA Feeds插件安装
进入idalib目录,然后使用以下命令进行安装:
pip install ../idalib/python/.
python . . / idalib/python/py-activate-idalib.py
pip install -r ../plugins/ida_feeds/requirements.txt -i https://mirrors.aliyun.com/pypi/simple/
插件在Edit>plugins>IDA Feeds启动
2.LazyIDA插件安装
将ida中数据快速导出为多种格式,convert快速提取数据等
将LazyIDA.py复制到plugins目录下即可(https://github.com/L4ys/LazyIDA)
3.keypatch9.0插件安装:
patch指令方便
前提是需要安装 keystone-engine和six python库,使用以下命令进行安装:
pip install keystone-engine -i https://mirrors.aliyun.com/pypi/simple/
pip install six -i https://mirrors.aliyun.com/pypi/simple/
将Keypatch.py复制到plugins目录下即可
4.patching插件安装
二进制指令集补丁工具,比keypatch好用些
https://github.com/gaasedelen/patching
将Patching文件夹和Patching.py复制到plugins目录下即可
5.auto-enum插件安装
自动恢复常见api的枚举变量
下载后将项目plugin目录内的所有文件:
enumlib
auto_enum.py
ida-plugin.json
复制到ida/plugins下即可
6.hrtng插件安装
注:如果安装了Hrtng可以不安装D810插件
高亮括号,重定义关键函数声明,栈字符串识别,反ollvm等功能
https://github.com/KasperskyLab/
下载release包后解压,复制plugins/windows/9.0/hrtng.dll到ida/plugins目录下即可
7.classinformer插件安装
https://github.com/herosi/classinformer
反编译C++的时候需要用到,可以根据RTTI等信息综合恢复类Class的相关信息,例如继承信息,类名等。
下载release包后将Classinformer64.dll复制到ida/plugins目录下即可
8.deREferencing插件安装
这个是调试里面用的,它可以追踪某一个地址指向什么,这样就可以知道寄存器或是内存地址到底指向谁,有什么意义
https://github.com/danigargu/deREferencing
调试时使用,追踪栈和寄存器指向的内容
将dereferencing.py和dereferencing文件夹复制到ida/plugins即可
9.IDA-DataExportPlus插件安装
IDA本身自带一个导出功能,但是有点鸡肋,本插件可将导出数据进行格式的自定义
https://github.com/Krietz7/IDA-DataExportPlus
shift+e 数据提取强化版,将DataExportPlus.py复制到plugins目录下即可
10.findhash插件安装
项目地址https://github.com/Pr0214/findhash
该插件可以搜索出被魔改的哈希算法
把findhash.xml和findhash.py复制到ida/plugins目录下即可
11.WPeChatGP插件安装
将requirements.txt和wpechatgpt.py以及auto-wpegpt_wpeace复制到ida/plugins目录下
然后运行如下命令安装所需包
pip install -r ./requirements.txt
修改脚本 WPeChatGPT.py
,添加 API key 到变量 openai.api_key。(后面会写如何对其API进行申请)
这里需要修改plugin_name以及model和cilent参数进行修改
最后重启 IDA 后即可使用
这里注册抖音的API(将注册好的API填入到配置文件即可)
https://console.volcengine.com/ark/region:ark+cn-beijing/model?vendor=Bytedance&view=DEFAULT_VIEW
立即体验默认提供GUI界面,选择API接入
创建API Key,名称任意,创建后复制并保存API Key,后续使用模型依赖该Key(注意不要泄露)
之后选择自定义推理接入点>创建推理接入点
自行设置接入点名称,模型,确认接入
选择模型
创建好后复制模型id和之前的API Key
12.HexRaysCodeXplorer插件安装
自动识别结构体,显示C++虚函数,生成函数结构树等
https://www.52pojie.cn/forum.php?mod=viewthread&tid=1999905&highlight=HexRaysCodeXplorer
将HexRaysCodeXplorer64.dll直接复制到plugins目录下即可
13.DA-DataExportPlus插件安装
https://github.com/Krietz7/IDA-DataExportPlus
一个用于导出数据的IDA PRO插件,它可以替换IDA Pro原始的数据导出窗口。 该插件支持基于不同数据类型的数据导出,包括不同大小的整数和浮点类型。除此之外也支持导出汇编代码。
将dataexportplus.py复制到IDA插件目录下即可
使用方法
使用快捷键Shift+E
以唤出插件窗口
14.findcrypt-yara 插件安装
常见加密算法识别
https://github.com/polymorf/findcrypt-yara
将findcrypt3.py和findcrypt3.rules复制到ida/plugins目录下
然后在python的安装目录下的\Lib\site-packages下会有一个yara.cp310-win_amd64.pyd
文件,将该文件复制到`\IDA\python\lib-dynload下,然后重启IDA即可生效。
15.VulFi插件安装
VulFi,即“漏洞发现者”,它是一个IDA Pro插件,可以帮助广大研究人员在二进制文件中查找漏洞
https://github.com/Accenture/VulFi
将vulfi.py、vulfi_prototypes.json和vulfi_rules.json文件放在 ida/plugins目录下
16.SigMaker插件安装
用于快速创建某一个函数的字节序列(函数签名),可用于二进制程序之间的相似函数识别。
将SigMaker9_64.dll文件复制到ida/plugins目录下即可
17.idaclu插件安装
大量函数中可以对函数进行分类,这样就可以知道哪些函数不太平常,有助于快速定位关键函数。
https://codeload.github.com/harlamism/IdaClu/zip/refs/tags/v1.1
将 idaclu.py
文件和 idaclu
文件夹复制到 IDA Pro 插件目录即可
18.bindiff插件安装
将binexport12_ida64.dll和bindiff8_ida64.dll复制到ida/plugins即可
19.ida-pro-mcp插件的安装和使用
前提条件需要安装Git-2.51.0-64-bit
2.进入python311目录并打开终端
安装MCP
python.exe -m pip install --upgrade git+https://github.com/mrexodia/ida-pro-mcp
进入IDAPython的Scripts目录运行ida-pro-mcp.exe进行安装
前提需要安装过vs code和cline
这里直接安装VSCodeUserSetup-x64-1.104.0.exe就行
然后输入以下地址
https://marketplace.visualstudio.com/items?itemName=saoudrizwan.claude-dev
点击install进行安装
或者打开Vscode的左侧扩展
菜单栏,搜索Cline
,点击安装Cline
。
然后使用以下命令进行安装ida-pro-mcp
python311\Scripts\ida-pro-mcp.exe --install
安装成功后,点击左侧的Cline
菜单栏配置大模型的API。将API Provider
选择为DeepSeek
,键入DeepSeek API Key
值。(你也可以选择其它的API提供商及其API Key)这里我使用的抖音的火山方舟的API引用(前面已经讲过怎么去注册)
或者使用本地ollam模型
到IDA中启动MCP-Server(编辑–插件–MCP)
在Cline的界面上下都可以找到服务器图标,点击添加MCP服务器,添加成功后,就可以启用,开关变“绿色”:
可以看到成功进行联动