该脚本插件在Github上的地址:https://github.com/polymorf/findcrypt-yara
用这个的原因是更新比较频繁,说明还有人在维护。安装这个脚本几乎浪费了我一天的时间,但是呢,也学到了很多,关键问题在于,在百度,谷歌等搜索引擎上没有找到解决问题的办法!为什么如此强大的Google也不行呢,可能是因为我们这个IDA 7.0版本的问题(因为确实是有“问题”),暂不纠结了,能解决问题就行了,下面说明下如何解决该问题:
目标是要先安装pip,然后使用
pip install yara-python
达到安装yara-python的目的。
1、我使用的IDA 7.0版本中,它的安装目录下是没有python27\Scripts文件夹的,以至于我不能使用别人提供的办法来解决我的问题(这其间我请教了我学长),但是参考它的思路我想到了解决我的问题的办法。
2、因为缺的东西比较多,我就一点点全部安装上就应该可以使用了,照着这个思路,不知道如何安装的就百度和Google,首先添加我的IDA 7.0连带安装的python 2.7-x64环境变量到path,之后安装setuptools,因为要安装pip,必须先安装setuptools,它的安装命令:
python setup.py install
setup.py是解压之后可以看到的文件,命令行执行时一定要在切换到解压目录下(shift+鼠标右键),不然会提示找不到文件。
下载链接:https://pypi.org/project/setuptools/#description
3、这次就可以安装pip了,首先去官网下载pip-10.0.1.tar.gz文件,下载链接:https://pypi.org/project/pip/#files,解压之后切换到该目录之后,用命令行执行以下命令:
python setup.py install
直到出现Finished processing dependencies for pip==10.0.1,才算是安装成功。
4、这时候我们IDA 7.0连带安装的python 2.7-x64文件夹下就有Scripts文件夹了,就有pip.exe了,说明我们可以使用了,我们再将该路径C:\python27-x64\Scripts添加到系统环境变量path中。
5、这时使用命令就可以安装yara-python了,因为已经在环境变量了,所以是全局有效了,在任何位置打开cmd命令行窗口即可执行。命令如下:
pip install yara-python
6、从https://github.com/polymorf/findcrypt-yara链接下载压缩文件解压后,把findcrypt3.py和findcrypt3.rules复制到IDA的plugins目录中。
7、打开IDA->Edit->Plugins->Findcrypt,即可使用啦
如有疑问请留言。