IDA PRO 7.5版現(xiàn)已發(fā)布�����!
今天我們很榮幸地宣布發(fā)布IDA PRO 7.5版�����!加入我們�,發(fā)現(xiàn)您的IDA Pro的許多新的功能和改進�!
亮點介紹
- 文件夾視圖
在許多IDA標(biāo)準(zhǔn)視圖中都有樹形的文件夾視圖。您可以創(chuàng)建文件夾并在它們之間移動項目����。首先,以下視圖包含:
功能和名稱
導(dǎo)入
結(jié)構(gòu)
枚舉類型
本地類型
對于結(jié)構(gòu)和枚舉���,樹面板默認(rèn)顯示�,對于其他視圖,可以通過“顯示文件夾”上下文菜單項啟用���。
用戶可以創(chuàng)建���、重命名和刪除文件夾��,并在文件夾之間移動項目��。這將有助于在處理大型二進制文件時組織信息�。
- MIPS反編譯器
一個新的反編譯器已經(jīng)添加到我們的陣容。IDA支持的任何32位MIPS二進制文件都可以反編譯�,包括壓縮編碼。透明且完美地處理可惡的延遲槽��。
以下是一些截圖:
Big-endian MIPS32代碼
Little-endian MIPS32碼
MIPS16e代碼
microMIPS代碼
- 用于MIPS和PPC的Lumina:
Lumina函數(shù)現(xiàn)在可用于MIPS和PPC二進制文件��。
- iOS/macOS改進
我們已經(jīng)添加了帶有大多數(shù)主要API的類型庫�,以及來自macOS和iPhone SDK的附加框架。當(dāng)與反編譯器配合使用時��,它們特別有用���。
初始可用類型庫列表
使用CoreFoundation API的x86_64用戶模式代碼示例
使用IOKit類的ARM64內(nèi)核代碼示例
此外��,我們改進了對KTRW調(diào)試器的支持�。斷點和監(jiān)視點使用相同的Corellium-ARM64配置進行開箱即用。
在反編譯器方面����,我們增加了對Atomic ARM64指令的支持,如CAS(compare and swap)�����、LDADD(atomic add)等�����。它們從stdatomic.h轉(zhuǎn)換為相應(yīng)的C11函數(shù)����,因此在處理為arm64e編譯的代碼時,應(yīng)該看到更少的_asm{}塊�����。
ARM Atomic
其他選定項目
PC:采用Intel CET(控制流強制技術(shù))的ELF二進制文件正變得非常常見�,因為默認(rèn)情況下,Debian會啟用此編譯器選項,其次是Fedora和其他Linux發(fā)行版�����。我們現(xiàn)在支持這種開箱即用的二進制文件���,包括在反編譯程序中��。我們還增加了對最近添加到英特爾和AMD處理器的幾個新指令的支持�。
Intel CET
ARM:最近針對32位ARM代碼的編譯器傾向于使用MOVW和MOVT指令對來加載32位常量和地址���,而不是像過去那樣使用常量池。雖然IDA在將這些對放在一起時已經(jīng)處理了它們�����,但是高級優(yōu)化可以將這些對分開����,從而防止IDA將它們組合起來,發(fā)現(xiàn)完整的值并向目標(biāo)添加交叉引用���。我們已經(jīng)改進了我們的啟發(fā)式方法來處理這種分散的對�����,并添加了一個選項�����,這樣分析就可以根據(jù)具體的二進制文件進行調(diào)整�,或多或少地具有攻擊性。
ARM MOVT
ARM MOVT
ARM MOVT
完整變更列表:
處理器模塊:
- ARC:增加了對ARCv2 EM指令集的支持
- ARM:增加了一個選項���,用于控制檢測由分散的MOVW+MOVT指令對加載的32位常量
- ARM:通過延遲的prolog設(shè)置改進功能檢測
- MIPS:增加了對multi-GOT二進制文件的支持($gp在二進制文件的不同部分可以有不同的值)
- V850/RH850:不為PIC調(diào)用創(chuàng)建函數(shù)(到下一個地址)
- PPC:從e200核(NXP MPC57xx���,ST SPC58xx)添加了許多新指令:
- 緩存旁路存儲(lbdcbx lhdcbx lwdcbx lwdcbx stbdcbx sthdcbx stwdcbx dsncb)
- e200z490(AIOP)說明(e_lqw e_stqw e_ldwcb e_ldbrw e_byterevw等)
- MPU指令(mpure、mpuwe�、mpusync)
- PC:增加了對prolog分析中endbr指令的支持
- PC:增加了WAITPKG指令的解碼(TPAUSE、UMONITOR和UMWAIT)
- PC:增加了TSX指令的解碼(XRESLDTRK和XSUSLDTRK)
- PC:增加指令的解碼�,CLDEMOTE、ENCLV�、SERIALIZE
- PC:增加直接存儲指令的解碼(MOVDIRI和MOVDIR64B)
- PC:增加了MCOMMIT和RDPRU指令的解碼(AMD Zen2)
文件格式:
- AMIGA:為AMIGA hunk文件加載程序?qū)崿F(xiàn)重新調(diào)整(由Vladimir Kononovich提供)
- ELF:忽略內(nèi)部編譯器符號gcc2_compiled
- ELF: pc: 處理用英特爾CET支持編譯的二進制文件中的PLT存根(-fcf protection)
- ELF:接受在文件末尾運行PT_LOAD的文件
- ELF: MIPS:實現(xiàn)的重新定位R_MIPS_GOT_PAGE, R_MIPS_GOT_OFST
- ELF: MIPS:添加對MIPS64復(fù)雜重定位的支持
- MACHO:允許用戶配置為新MACHO文件加載的類型庫。
- TDS:增加了對與exe文件連接的TDS文件的支持
安裝程序:
- 默認(rèn)為Python3�����;將Python3.8.2與Windows安裝程序捆綁在一起
調(diào)試器:
- 調(diào)試器:增加了對Bochs 2.6.10的支持
- 調(diào)試器:增加了對Zilog Z80處理器的調(diào)試支持
- 調(diào)試器:gdb:改進多線程程序的調(diào)試
- 調(diào)試器:ios:將iPhone SE 2添加到已知設(shè)備列表/li>
- 調(diào)試器:PIN:支持使用PIN 3.13構(gòu)建pintool
- 調(diào)試器:xnu:改進的ktrw支持�。斷點/監(jiān)視點/寄存器現(xiàn)在可以使用“Corellium-ARM64”配置在ktrw中按預(yù)期工作�。不需要其他手動設(shè)置����。
Kernel / Misc.:
- demangler:為VC++和GCC添加c++20 spaceship和co-await運算符
- 內(nèi)核:將std::_Xlength_error()添加到不返回函數(shù)的列表中
- Lumina: Lumina功能可用于MIPS和PPC二進制文件
FLIRT / TILS / IDS:
- TIL:引入了新的macosx類型庫,直接從MacOSX.sdk/iPhoneOS.sdk(包括所有Objective-C和C++ Frameworks)��。
- TIL:為XNU內(nèi)核和KEXT二進制文件引入了新的類型庫����,直接從XNU源代碼構(gòu)建。
- FLIRT:為vc1424添加MFC簽名(Visual Studio 2019.4)
- FLIRT:為vc1425添加MFC簽名(Visual Studio 2019.5)
- FLIRT:ICL:為icl200 (Intel C++ 20.0)添加簽名
- FLIRT:ICL:為icl201 (Intel C++ 20.1)添加簽名
- FLIRT:VC:為vc1424添加簽名(Visual Studio 2019.4)
- FLIRT:VC:為vc1425添加簽名(Visual Studio 2019.5)
用戶界面:
- UI:許多IDA視圖現(xiàn)在提供了另一種類似樹的文件夾視圖
- UI:添加操作以搜索寄存器定義或寄存器使用(Shift+Alt+Up����、Shift+Alt+Down)
- UI:現(xiàn)在可以從“函數(shù)調(diào)用”小部件添加、刪除��、啟用和禁用斷點
- UI:“Breakpoints”選擇器現(xiàn)在也在列中報告狀態(tài)(啟用/禁用/未解析)��,而不是僅通過圖標(biāo)�。
- UI:在會話中�,IDA默認(rèn)情況下會記住并恢復(fù)對話框的位置和大小(可通過RESTORE_DIALOGS_GEOMETRIES配置)
- UI:debugger:當(dāng)前線程現(xiàn)在以粗體顯示
- UI:debugger:在關(guān)于連接失敗的錯誤消息中包括主機名和端口號
- UI:取消了同步類似視圖的限制(例如���,現(xiàn)在可以同步2個idaviews)
- UI:顯示加載過程中加載的文件的文件名
- UI:“create struct from data”:在結(jié)構(gòu)內(nèi)部使用時�,忽略“field_xxx”等偽字段名
- UI:添加了get_synced_group(),以檢索有關(guān)同步的小部件的信息����。
