IDA Pro7.0（Mac版）安装findcrypt

• 安装findcrypt
• 遇到的问题
• 解决方法
• 总结

---

阅读之前注意：

本文阅读建议用时：25min
本文阅读结构如下表：

项目	下属项目	测试用例数量
安装findcrypt	无	0
遇到的问题	无	1
解决方法	无	1
总结	无	0

安装findcrypt

首先在Mac终端命令行运行这个：pip install yara-python
然后参考这个网址：https://github.com/polymorf/findcrypt-yara
下载下来后，复制其中的.py文件和.rules文件到/Applications/IDA Pro 7.0/ida.app/Contents/MacOS/plugins这个路径下。
效果如下图所示：

遇到的问题

这样，直接启动IDA，会提示说找不到yara模块。问题在于IDA的python的模块搜索路径没有包含我们安装yara-python的那个路径。

解决方法

从问题来看，我们应该把安装yara-python的那个路径添加进IDA的python的模块搜索路径。但我没能成功。
我用的另一种方法：直接把安装路径下的yara-python复制到IDA的python的模块搜索路径。
具体操作如下：

1. 首先在IDA中确认其使用的Python的模块搜索路径，直接import sys，然后print(sys.path)即可看到类似下图：
   
2. 然后看下当前安装yara-python的路径，这个很容易，在Mac终端再运行一下pip install yarn-python，他就会告诉你安装的路径：
   
3. 最后，把yara-python对应的文件从第2步中的路径拷贝到第1步中的路径即可，貌似需要拷贝两个：
   
   大功告成，现在重新打开IDA就能在插件中看到findCrypt了，附上我的成果图：
   

总结

findcrypt需要yara-python的支持，IDA的模块搜索路径不包含直接pip install yarn-python的路径，因此需要我们手动设置搜索路径或者复制yara-python到IDA的模块搜索路径。

如果本文有帮助到你，不如请我一罐可乐吧