Manual del IDA pro

MANUAL DEL IDA pro (1)
(por LEiRUS, miembro de K-FoR)

1.- Intro

Esa es la primera de las preguntas que deberíamos hacernos, ante la cual debemos responder que es un desensamblador, una aplicación que mostrará el código en esansamblador de un programa. Sin embargo, no estamos ante un desensamblador cualquier. Su propio nombre marca la diferencia entre él y sus competidores: IDA, the Interactive DisAsembler. ¿ Que quiere decir esto exactamente ?. Pues que nosotros podremos intervenir y actuar sobre el código de manera muy activa, es decir, que no sólo nos enseñará el listado en sí, si que también podremos interactuar con él, podremos jugar con múltiples posibilidades, podremos nombrar variables, funciones y haremos muchas cosas con el código. Incluso lo podremos modificar. Pero de momento habrá que esperar.

2.- Lugar de Residencia

En la WEB de K-FoR o en la Karpoff, además de en Hambo.

3.- Rulándolo la primera vez

En primer lugar, veréis el menú y la barra de herramientas, típicos de los programas en Windows y un cartelito que nos dice "Drag a file here to disasemble". Si tienes un nivel de inglés medio, habrás entendido bien, para desensamblar un archivo tendremos que "arrastralo" hasta la ventana del IDA. Pero tenemos otras rutas alternativas. Podemos usar la barra de herramientas, pulsando sobre la carpetita o bien elegir en el menú File -> Open File. Tras esta absurda operación viene lo bueno. El desensamblado en sí. Un proceso lento en ordenadores poco potentes, pero que puede valer la pena.

4.- La ventana de carga del fichero

Tras cargar el fichero, nos aparece una ventana, que conviene explicar detenidamente para que sepamos para que sirven cada uno de los comandos y opciones que allí aparecen.

Primeramente, podremos elegir como se comportará IDA cuando vaya a desensamblar el fichero. Así, lo hará de una forma u otra ateniendo a si el fichero es PE (Portable Ejecutable, el estándar de Windows), si es un EXE de DOS o si es un archivo binario. Normalmente nosotros vamos a tener elegida la opción de los PE, porque además de venir por defecto, son los archivos más frecuentes, y con los que trabajaremos más a menudo.

A continuación, elegiremos el tipo de procesador que utiliza el fichero a desensamblar. Será la mayoría de los casos en los que elegiremos la opción de "metapc". Como vemos, IDA tiene una versatilidad realmente sorprendente, porque es capaz de "entender" las instrucciones de numerosos procesadores, incluidos los tan antiguos Z80 como los más nuevos de Intel, los Pentium III y los Athlon de AMD, pasando por procesadores de Motorola y de Hitachi. Como digo, de momento, "metapc" será lo más común a todos los programas con los que nos enfrentemos. Una cosa, cuando cambiemos de Procesador en las configuraciones, se nos activará el botón "Set" de la derecha. Si lo pulsamos, habremos configurado ese procesador como por defecto. No andaros con ñoñerías y dejad de toquetear.

Tenemos 2 opciones relacionadas con el Análisis del fichero. Si lo queremos analizar (pasarlo por FLIRT, que hablaremos más adelante de ello) o no. Es lo normal tener el análisis activado con el indicador también.

En el grupo "Options" tenemos varias casillas de verificación que nos permiten elegir diferentes páramentros en función del tipo de archivo y del procesador que hayamos elegido. Pasaré a explicar brevemente las más relevantes:

- Load Resources: Evidentemente cargará los recursos del archivo en memoria. Nos referimos a las cadenas, bitmaps, iconos y demás que pudiera contener el fichero.
- Rename DLL entries: Si NO está seleccionado, IDA hará comentarios repetidos para entradas importadas en orden.
- Manual Load: Nos preguntará que segmentos del archivo será lo que se carguen.
- Make Imports: Convierte las definiciones de la sección de .idata a directivas "extrn" y las trunca.

Tan sólo queda decir donde se encuentran el directorio de las DLL's. Por defecto es el directorio de Windows, que será el que normalmente tendremos puesto.

Ahora nos vamos de cabeza a las "Kernel Options" y "Processor Options". Atención esto es tremendamente complejo, ya que se cambiarán muchos parámetros de IDA y podremos dejarlo inutilizado o inservible en cuestión de segundos, así que recomendiendo encarecidamente que se lean los manuales adjuntos. Bueno, después de esta advertencia, toca explicar cada una de las opciones de las "Kernel Options 1":

- Create offsets and segments using fixup info: IDA utilizará la información de reubicación para hacer un mejor desensamblado.
- Mark typical code sequences as code: IDA "entiende" a los procesadores, y las secuencias de código que le son familiares, las pondrá como normalmente aparecen.
- Delete instructions with no xrefs: Las instrucciones que nunca son referidas o que son indefinidas, serán eliminadas.
- Trace execution flow: Permite a IDA ejecutar y tracear una "intraejecución" del fichero a fin de convertir las referencias a instrucciones.
- Create functions if call is present: Permite a IDA crear un procedimiento o función a partir de una instrucción call. Si una función call llama a h453HFF, se le dará un nombre genérico a todo el conjunto de instrucciones que se hagan referencia hasta un "ret".
- Analyse and create all xrefs: Si esta opción está desactivada, simplemente se analizará el fichero sin más, sin referencias, en definitiva sin ningún tipo de ayuda.
- Use flirt signatures: Permite a IDA utilizar la tecnología FLIRT. La tecnología FLIRT le da la capacidad a IDA de intentar reconocer funciones del lenguaje específico en el que se escribió el fichero analizado. NECESARIAMENTE debe estar seleccionado. Sino para que demonios quieres IDA.
- Create function if data xref data->code32 exists: Si IDA encuentra una referencia a datos del segmento de datos al segmento de 32 bits de código, la estudiará a fin de encontrar una instrucción susceptible de ser desensamblada.
- Rename jump functions as j_...: Permite a IDA renombrar funciones que son referenciadas por saltos en vez de por llamadas.
- Rename empty functions as nullsub_...: Las funciones nulas o que únicamente contienen un "ret", son renombradas como "nullsub".
- Create stack variables: Crea variables de la pila y parámetros de funciones.
- Trace stack pointer: Tracea el valor de SP, el del puntero de la pila.
- Create ascii string if data xref exists: Si se encuentra un referencia a un lugar indefinido, IDA buscará una cadena ascii. Para ser detectada, la cadena deberá ser mayor de 4 caracteres.
- Convert 32bit instruction operand to offset: IDA convertirá el operador inmediato de una instrucción que puede ser representado como una expresión de offset.
- Create offset if data xref to seg32 exists: Si IDA encuentra una referencia a datos en un segmento de 32 bits que contiene datos en 32 bits que pueden representarse en forma de offset, IDA los convertirá.
- Make final analysis pass: Hace la pasada final del análisis, conviertiendo las zonas no exploradas a datos o instrucciones.

Después de esta soberbia explicación sobre los distintos parámetros que se nos presentan en las "Kernel Options 1" del IDA, nos dirigimos a la segunda tanda, esta ya mucho menos abundante, tan sólo tiene 3 parámetros a configurar. A saber de las "Kernel Options 2 ":

- Locate and create jump tables: Permite a IDA intentar reconocer o adivinar la dirección y el tamaño de las tablas de salto.
- Coagulate data in the final pass: Permite a IDA convertir los bytes inexplorados a arrays de datos en el segmento de datos. Evidentemente, sólo tiene sentido cuando está activada la opción de Make final analysis pass, de las "Kernel Options 1".
- Hide libary functions: Supongo que no hace falta explicarlo, pero por si acaso, esto oculta las funciones reconocidas mediante FLIRT.

Las "Processor Options 1", de momento no las vamos a ver, ya que son demasiado complejas y requieren un tratamiento aparte. Además me estoy documentando sobre ello para explicarlo más detenidamente. Supongo que haré un documento complementario a éste para todo aquél que quiera saber exactamente el significado de estos parámetros.

Bueno, pues con esto y un bizcocho, terminanos de configurar los parámetros de carga del fichero a desensamblar. Tras pulsar el botón "OK", el IDA empezará a trabajar sobre el fichero. El proceso de desensamblado puede ser un poco lento, pero para poder ir "toqueteando", IDA te hace un listado primitivo del fichero, a fin de investigarlo superficialmente.

Pero una vez que termine, tendremos el listado completo, y podremos interactuar con el fichero. Eso será lo que haremos en tutoriales adelante. De momento baste por hoy, un poco de teoría antes de empezar la práctica. Nos veremos en la 2ª parte de este manual-tutorial. Hasta la próxima. Y ya sabeís que si os queréis poner en contacto conmigo para cualquier sugerencia, duda, corrección o lo que sea, no os lo penséis y escribidme un mail a la dirección de abajo. Hasta la próxima.

"AHORA SÉ PORQUÉ LLORÁIS LOS HUMANOS, PERO ES ALGO QUE YO NUNCA PODRÉ HACER"
Terminator 2: El Juicio Final.

http://go.to/leirus - leirus@telepolis.com
http://pagina.de/kfor - kfor@telepolis.com