findhash：一个IDA脚本，能够识别并确定哈希算法（包括经过常数魔改的情况），同时生成frida hook代码

芬达哈希 在哈希算法上，比Findcrypt更好的检测工具，同时生成Frida hook代码。 使用方法 把findhash.xml和findhash.py放到ida插件目录下 ida -edit-plugin-findhash 试图解决的问题 哈希函数的初始化魔数被修改 想快速验证所分析的函数中是否使用了MD5，SHA1，SHA2这些哈希算法。 Findcrypt / Signsrch没发现来 可以应对如下各种findcrypt发现或哈希函数被魔改的情况 原理 通过正则表达式校正伪伪C代码中的初始化魔数代码以及哈希运算函数，很粗鲁暴力，所以运行时间会比较长，因为要反编译所有函数，但对哈希算法的检测上效果非常好。 去做 适应arm64 增加对特征常量立即数的搜索 根据相关理论，高占比的位运算指令以及循环，是加解密算法难以抹去的结构特征。