IDA Pro7.0(Mac版)安装findcrypt
- 安装findcrypt
- 遇到的问题
- 解决方法
- 总结
阅读之前注意:
本文阅读建议用时:25min
本文阅读结构如下表:
| 项目 | 下属项目 | 测试用例数量 |
|---|---|---|
| 安装findcrypt | 无 | 0 |
| 遇到的问题 | 无 | 1 |
| 解决方法 | 无 | 1 |
| 总结 | 无 | 0 |
安装findcrypt
首先命令行运行这个:pip install yara-python
然后参考这个网址:https://github.com/polymorf/findcrypt-yara
下载下来后,复制其中的.py文件和.rules文件到/Applications/IDA Pro 7.0/ida.app/Contents/MacOS/plugins这个路径下。
效果如下图所示:
遇到的问题
这样,直接启动IDA,会提示说找不到yara模块。问题在于IDA的python的模块搜索路径没有包含我们安装yara-python的那个路径。
解决方法
从问题来看,我们应该把安装yara-python的那个路径添加进IDA的python的模块搜索路径。但我没能成功。
我用的另一种方法:直接把安装路径下的yara-python复制到IDA的python的模块搜索路径。
具体操作如下:
- 首先在IDA中确认其使用的Python的模块搜索路径,直接import sys,然后print(sys.path)即可看到类似下图:
- 然后看下当前安装yara-python的路径,这个很容易,在Mac终端再运行一下pip install yarn-python,他就会告诉你安装的路径:
- 最后,把yara-python对应的文件从第2步中的路径拷贝到第1步中的路径即可,貌似需要拷贝两个:
大功告成,现在重新打开IDA就能在插件中看到findCrypt了,附上我的成果图:
总结
findcrypt需要yara-python的支持,IDA的模块搜索路径不包含直接pip install yarn-python的路径,因此需要我们手动设置搜索路径或者复制yara-python到IDA的模块搜索路径。