efiXplorer – Complemento IDA para análisis de firmware UEFI y automatización de ingeniería inversa
Versiones compatibles de los productos Hex-Rays: Cada vez nos centramos en las últimas versiones de IDA y Decompiler porque intentamos utilizar las funciones más recientes de las nuevas versiones del SDK. Esto significa que solo hemos probado en versiones más recientes de productos Hex-Rays y no garantizamos un trabajo estable en generaciones anteriores.
Por qué no IDApython: Todo el código se desarrolló en C ++, ya que es una forma más estable y poderosa de admitir un complemento complejo y obtener toda la potencia de las últimas funciones del SDK.
Plataformas compatibles: Windows, Linux y OSX.
Funciones principales de efiXplorer
Tabla resumen de funciones
| Nombre de la función | 32 bits | 64 bits |
|---|---|---|
| Servicios de arranque | + | + |
| Servicios en tiempo de ejecución | + | + |
| Servicios SMM | – | + |
| Servicios PEI | + | – |
| Registros | + | + |
| GUIAS | + | + |
| Aplicar tipos a variables locales | + | + |
| Escáner de vulnerabilidad | + | + |
| Informe en formato JSON | + | + |
| Cargador | – | + |
| Diagrama de dependencia | – | + |
Identificar automáticamente los servicios de arranque disponibles
Comente automáticamente las llamadas de Boot Services en el código ensamblador:
Identifique automáticamente los servicios en tiempo de ejecución disponibles
Comente automáticamente las llamadas de Runtime Services en el código ensamblador:
Identificar automáticamente los servicios SMM disponibles
Comente automáticamente las llamadas de servicios SMM en el código ensamblador:
Identificar automáticamente los servicios PEI disponibles
Comente automáticamente las llamadas a los servicios PEI en el código ensamblador:
Identifique automáticamente los protocolos EFI disponibles
Haga la lista de protocolos EFI que el firmware consumirá e instalará:
Identificar GUID EFI conocidos
Cree la lista de GUID de EFI identificados (incluidos los nombres de protocolo para GUIDS conocidos):
Aplicar tipos para interfaces de protocolo
Esta función solo funciona en conexión con un descompilador HexRays. Si no tiene un descompilador HexRays, compile efiXplorer sin hexrays_sdk.
Escáner de vulnerabilidad
efiXplorer analiza los controladores en busca de los siguientes tipos de vulnerabilidades:
- Llamadas SMM
- OOB escribiendo sobre mal
GetVariableUso (en controladores PEI, DXE y SMM)
Al final del análisis, se muestra un selector con los puntos débiles sospechosos.
Informe en formato JSON
Después del análisis efiXplorer guarda el informe en formato JSON.
