IDA 9.0 安装Findcrypt插件踩坑分享

P199y

IDA 9.0 安装findcrypt经验贴

安装findcrypt插件时遇到了一些问题，网上也没有搜到解决方案，于是在安装成功后记录一下安装过程，希望能帮到有需要的朋友。

1、下载findcrypt

插件链接

https://github.com/polymorf/findcrypt-yara

下载完成后打开压缩包，需要将红框内两个文件复制到 IDA\plugins目录下

2、下载 yara-python

由于本机未安装yara，根据findcrypt作者提示安装yara

pip install yara-python

我这里ida使用的python是系统的主Python版本，版本为3.10.5，pip也是对应版本的。按照以往版本的ida这样操作之后打开ida即可使用findcrypt，然而此时遇到了报错ModuleNotFoundError: No module named 'yara'。在搜索众多帖子无果后最终自己尝试出以下解决方式。

3、调整.pyd文件位置

进行完上述步骤之后，在python的pythonpath\Lib\site-packages下会有一个yara.cp310-win_amd64.pyd文件，将该文件移至\IDA\python\lib-dynload下，然后重启IDA即可生效。

l_user

我的一直报错
Traceback (most recent call last):
  File "D:/Program/IDA_9.0/plugins/findcrypt3.py", line 60, in activate
    self.plugin.search()
  File "D:/Program/IDA_9.0/plugins/findcrypt3.py", line 181, in search
    values = self.yarasearch(memory, offsets, rules)
  File "D:/Program/IDA_9.0/plugins/findcrypt3.py", line 191, in yarasearch
    for instance in string.instances:
AttributeError: 'tuple' object has no attribute 'instances'

P199y

BrutusScipio 发表于 2024-12-18 22:43
没有设置环境变量吗？这样看起来是手动把库文件放入工作目录下

对的，没有换，IDA9.0好像直接使用系统当前的python版本，不像之前的版本会自带单独的python环境了。我也只是误打误撞，发现ida下有个文件夹下放了很多.pyd文件，刚好这个yara也是.pyd文件就给放过去了。我是小白，有不对的地方各位大佬能够多多指点

BrutusScipio

没有设置环境变量吗？这样看起来是手动把库文件放入工作目录下

xixicoco

Findrypt 这个很常用

PDX0306

没有设置环境变量

linix

感谢分享，学习了

shuyeone

感谢分享，学习了

yigaosoft

感谢分享，好好学习下

TheEnd

感谢分享，学习了

tangqianfeng

不需要拷贝yara.cp313-win_amd64.pyd，就直接能用了