Hexrays IDA Pro SigMaker 플러그인

SigMaker

같은 프로그램이지만 주기적으로 업데이트되는 프로그램을 리버싱 해야 할 때가 있습니다. 매번 프로그램을 빌드할 때 마다 찾아두었던 Signature의 가상 메모리 주소가 변경되기도 합니다. 이런 경우 Hex 코드 배열으로 고유한 패턴을 생성해 버전이 다른 바이너리에서도 찾을 수 있습니다. 이럴 때 유용하게 사용할 수 있게 패턴과 마스크를 쉽게 만들어주는 플러그인이 있습니다.

https://github.com/ajkhoury/SigMaker-x64

패턴 만들기

기본 단축키는 ctrl + alt + s 에 바인딩 되어 있습니다.

여러 옵션을 만들 수 있고, 특수한 케이스가 없다면 기본으로 선택된 Auto create ida pattern 옵션을 사용합니다. OK를 눌러 패턴을 생성하면 Output Window에 결과가 출력됩니다.

그리고 클립보드에 자동으로 들어가서, 붙여넣기를 통해 바로 저장해 둘 수 있습니다.

패턴으로 검색

Search - Sequence of bytes 메뉴 아이템으로 찾기가 가능합니다.

클립보드에 복사되었던 배열을 붙여넣습니다.

다수의 패턴이 확인될 수 있으므로 Find all occurences 옵션을 활성화 합니다.

검색결과가 표시됩니다.

xref 기능을 이용해 따라가보면, 근처 주소에 찾으려고 했던 메서드가 존재하는 것을 확인할 수 있습니다.