Menú principal

jueves, 23 de febrero de 2012

Analizar binarios de Mac OS X desde Windows con IDA

IDA es uno de los más conocidos debuggers multiplataforma con soporte para sistemas operativos Windows, Linux y Mac OS X. La característica de IDA que tratamos hoy en este artículo es la del sistema de debugging remoto que permite llevar a cabo la depuración de un binario de una plataforma desde otra. En otras palabras: realizar el análisis de una aplicación para Mac OS X desde un sistema Windows o Linux, o viceversa.

Para montar el entorno se necesita un sistema operativo Windows y uno Mac OS X, ambos con IDA instalado en ellos, y para aprender la como funciona esta característica seguir el tutorial IDA Mac OS X Debugging de Hex-Rays, los desarrolladores de IDA

Inicialmente será necesario descargar el fichero macvuln.tgz, aplicación para Mac OS X que se puede utilizar de ejemplo para analizar. Una vez descargada la aplicación, se debe configurar el servidor de IDA con los permisos adecuados. Para ello se deben ejecutar los siguientes comandos.

Figura 1: Configuración de permisos sobre el mac_server

Una vez que toda la parte de Mac OS X está totalmente configurada se puede iniciar el servidor de IDA llamado  mac_server mediante el parámetro -P para establecerle una clave de acceso.

Figura 2: Ejecución del servidor IDA para mac_os

Los pasos para conectar IDA desde el sistema Windows al servidor corriendo en Mac OS X a través de la red empiezan por cargar el binario macvuln descargado anteriormente, y acto seguido seleccionar el depurador Mac OS X remoto mediante la ruta de menús ‘Debugger / Select debugger / Remote Mac OS X debugger’, tal y como se muestra en la siguiente captura de pantalla.

Figura 3: Arrancando IDA para usar debugging remoto en Mac OS X

El último paso a llevar a cabo es la configuración de la dirección IP y la contraseña del servidor, junto con los parámetros que se deseen ejecutar sobre la aplicación ‘macvuln’. Esta ventana es accesible desde ‘Debugger / Process options’.

Figura 4: Configuración del proceso que se quiere debuggear

Como último paso ya únicamente es necesario iniciar la depuración mediante el hotkey ‘F9’ y comenzar el proceso de ingeniería sobre el proceso en cuestión.

Figura 5: Aplicación Mac OS X siendo analizada con IDA remotamente desde Windows

Esperamos que con este pequeño artículo más de uno os animéis a analizar muchas más aplicaciones para Mac OS X y a buscar en ellas esas características "ocultas" que a veces impactan en la seguridad de nuestros sistemas.

1 comentario:

  1. Ese IDA PRO tiene pinta de ser la versión 6.1, supongo que habréis pagado por su licencia noo?? }:)

    ResponderEliminar

Artículos relacionados

Otras historias relacionadas

Entradas populares