给IDA6.1制作system函数的签名文件

最新推荐文章于 2021-10-07 15:53:02 发布
最新推荐文章于 2021-10-07 15:53:02 发布
阅读量1.5k 收藏
点赞数

前言

system在LIBC.LIB中, 但是将LIBC.LIB制作为sig文件后, 在IDA打开调用system函数的工程中加载LIBC.sig后, 并不能看到system函数被识别.

IDA不认得LIBC.LIB中的system函数原因, 和工程中system函数的签名不一样.
可以比对pat文件, 看特征码是否和本工程中的system函数相同.

需要自己做一个MASM静态库, 将system函数的反汇编实现抠出来, 贴到静态库工程, 将内部函数改名, 并声明为 proto, 编译成静态库之后, 再做签名, IDA才认得.

工程下载点

makeSigForIDA.zip

工程运行环境说明

\Flair IDA6.1签名需要的可执行文件, 放到<IDA>\
    里面的pcf打好了补丁, 退出时, 不会和用户交互.

\MYLIB 做签名用的MASM静态库工程, 编译环境radAsm2.2.1.5
    静态库不用 start: 和 end start, 只要有函数的实现就行.
    要确保抠代码贴到静态库后, 调用的内部函数__fnFoo用 fnFoo proto 声明, 并将内部函数由__fnFoo改成fnFoo, 表明不是我实现的, 我只是调用已经存在的函数实现   

\makeIdaSign 签名用的脚本工程, 执行make_sig.bat, 可以看到pat文件是否正确, 看机器码中的地址是否是统配符号, 如果是绝对地址就错了.
按2个回车, 签名制作完成. 第一个回车, 去看pat文件是否正确.

\CallSystem 测试程序, 只调用了system函数

将做好的.sig放到<IDA>\sig\下, 启动IDA载入目标程序, 加载签名库MYLIB.LIB, 如果函数应用数量 > 0, 就成功了, system函数会被IDA识别为my_system.

MASM静态库工程实现片段

; MYLIB.Asm

.386
.model flat, stdcall  ;32 bit memory model
option casemap :none  ;case sensitive

include MYLIB.Inc

.data
dword_40965C    dd 0                    ; DATA XREF: system+5Br __spawnvpe+27r ...
dword_409668    dd 0                    ; DATA XREF: start+52w
                                        ; system:loc_40107Br

.const
; char VarName[]
VarName         db 'COMSPEC',0          ; DATA XREF: system+7o
aC              db '/c',0               ; DATA XREF: system+38o
aCmd_exe        db 'cmd.exe',0          ; DATA XREF: system+7Bo
aCommand_com    db 'command.com',0      ; DATA XREF: system+72o

.code

; lib project need not add start: and end start
; the internal fun on dasm code, don't chang crt_xx, e.g._getenv
; need decalre getenv proto ! we only need the signature file
getenv proto
access proto
spawnve proto
spawnvpe proto

; =============== S U B R O U T I N E =======================================

; Attributes: bp-based frame

my_system          proc C               ; CODE XREF: _main+5p

Environment     = dword ptr -10h
var_C           = dword ptr -0Ch
var_8           = dword ptr -8
var_4           = dword ptr -4
arg_0           = dword ptr  8

                push    ebp
                mov     ebp, esp
                sub     esp, 10h
                push    esi
                push    offset VarName  ; "COMSPEC"
                ; call    crt_getenv
                call    getenv
                pop     ecx
                xor     esi, esi
                mov     ecx, [ebp+arg_0]
                mov     [ebp+Environment], eax
                cmp     ecx, esi
                jnz     short loc_401046
                cmp     eax, esi
                jnz     short loc_401036
                xor     eax, eax
                jmp     short loc_4010A3
; ---------------------------------------------------------------------------

loc_401036:                             ; CODE XREF: system+20j
                push    esi             ; char
                push    eax             ; lpFileName
                ; call    crt__access
                call    access
                neg     eax
                pop     ecx
                sbb     eax, eax
                pop     ecx
                inc     eax
                jmp     short loc_4010A3
; ---------------------------------------------------------------------------

loc_401046:                             ; CODE XREF: system+1Cj
                cmp     eax, esi
                mov     [ebp+var_C], offset aC ; "/c"
                mov     [ebp+var_8], ecx
                mov     [ebp+var_4], esi
                jz      short loc_40107B
                lea     ecx, [ebp+Environment]
                push    esi             ; ExitCode
                push    ecx             ; lpEnvironment
                push    eax             ; lpFileName
                push    esi             ; int
                ; call    crt__spawnve
                call    spawnve
                add     esp, 10h
                cmp     eax, 0FFFFFFFFh
                jnz     short loc_4010A3
                mov     ecx, dword_40965C
                cmp     ecx, 2
                jz      short loc_40107B
                cmp     ecx, 0Dh
                jnz     short loc_4010A3

loc_40107B:                             ; CODE XREF: system+45j system+64j
                test    byte ptr dword_409668+1, 80h
                mov     [ebp+Environment], offset aCommand_com ; "command.com"
                jnz     short loc_401092
                mov     [ebp+Environment], offset aCmd_exe ; "cmd.exe"

loc_401092:                             ; CODE XREF: system+79j
                lea     eax, [ebp+Environment]
                push    esi             ; ExitCode
                push    eax             ; lpEnvironment
                push    [ebp+Environment] ; lpFileName
                push    esi             ; int
                ; call    crt__spawnvpe
                call    spawnvpe
                add     esp, 10h

loc_4010A3:                             ; CODE XREF: system+24j system+34j ...
                pop     esi
                leave
                retn
my_system          endp


end
LostSpeed
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IDA Pro Advanced v6.1 (Windows)第三个压缩包
09-16
ida的最新版,不错的工具软件。需要python。共8个压缩文件
IDA6.1下载符号表时卡死
wqx12343的博客
12-07 919
第一次打开IDA,要求下载微软符号表,点击“确定”后,出现对话框“please waiting”,由于网速慢,很长时间没有反应,点击IDA,出现该页没有响应。解决办法: 1、去微软网站下载对应符号表,放在c:\symbols目录下。 2、打开IDA-cfg-PDB.CFG ,右键-文本编辑器编辑。修改为如下所示 PDBSYM_DOWNLOAD_PATH = “c:\symbols”;//
IDA 6.1 下载地址
06-14
IDA6.1的地址,分享一个月,大家赶快下载,!!!
IDA 6.1 SDK
10-18
IDA 6.1开发插件SDK,内含官方发部的SDK及其它功能。
【世界上最优秀的逆向分析工具】IDA Pro6.1绿色版
weixin_33805992的博客
08-22 388
【世界上最优秀的逆向分析工具】IDA Pro6.1绿色版 让编程改变世界 Change the world by program 世界上最优秀的静态逆向工具没有之一 [caption id="attachment_644" align="aligncenter" width="327"] IDA下载[/caption] IDA PRO简称IDA(Interactive...
IDA6.1PluginforQIRA:用于 RENT 的 IDA 6.1 插件 (IDA Python)
07-10
IDA6.1QIRA 插件 QIRA 的 IDA 6.1 插件(IDA Python) ###要求 奇拉 IDA Python ###安装 i2q.py -> %IDA6.1%/插件/ i2q.py -> %IDA6.1%/插件/ 服务器.py ###用法####1。 使用 Chrome 浏览器连接 qira ...
IDA7.0 vc签名文件
04-07
自己合并的IDA 7.0的签名文件,包含vc_14.28.29910 x86和x64,windows_kit_10.0.19041.0 x84和x64 的签名文件
IDA pro 6.1
08-28
IDA Pro是DataRescue开发的专业反汇编工具, 它是一款专业的反汇编工具,
IDA6.1汉化包
12-28
IDA6.1汉化包
IDA SIG 批量生成签名工具 c++ 不是bat
04-26
IDA SIG 批量生成签名工具 c++ 不是bat IDA SIG 批量生成签名工具 c++ 不是bat
IDA 6.1调试驱动
kingswb的博客
04-23 2675
今天在测试的时候发现IDA 5.5可以启动windbg调试器,而IDA 6.0却无法启动windbg调试器。大体看了一下可能是由于搜索路径造成的,重新将windbg安装到program files下之后问题就结局了。 网上也有关于用IDA调试驱动的文章,这里只是再整理一下,用IDA载入驱动分析完成之后选择调试器为Windbg debugger,如图1所示: 图1 然后执行
反汇编工具IDA使用详解
热门推荐
dvlinker的技术专栏
10-07 4万+
本文详细介绍反汇编工具IDA Pro的使用。
IDA 6.1
thtfpcuser的专栏
07-29 562
http://www.hex-rays.com/idapro/61/index.html 1. support for android: dalvik byte code,  native arm debugging. ...
IDA 6.8 使用水文-1
u013633997的专栏
10-14 835
使用IDA反汇编.so代码之后修改指令,移除so中的日志打印功能。
IDA Pro——CrackMe.exe调试
Green77的博客
02-26 6644
版本:IDA pro 6.1(看雪学院下载)1.配置 1)菜单Option配置,只对当前项目有效 2)ida.cfg文件配置2.主界面 蓝色代码段,棕色数据段,红色内核窗口管理 名字窗口(Names window): F:导入函数/自己写的函数 I:导入函数/自己写的 A:字符串 L:库函数 D:全局的命令代码函数窗口 Sub子程序 loc地址 byte8位数据
OD+IDA6.1破解HideWizardv9.29(无忧隐藏)
liujiayu2的专栏
06-24 3315
标 题: 【原创】OD+IDA6.1破解HideWizardv9.29(无忧隐藏) 作 者: hsluoyz 时 间: 2012-04-22,22:01:19 链 接: http://bbs.pediy.com/showthread.php?t=149743 偶以前搞过一些破解,但都是一些软柿子,前几天有隐藏木马这么个需求,包括进程、窗口、硬盘文件等,非要用HideWIzard出手不可
ida怎么查找隐藏函数
最新发布
07-11
在IDA中查找隐藏函数可以尝试以下几种方法: . 静态分析:使用IDA的反汇编功能,通过查看函数调用系和代码逻辑,寻找与隐藏函数相关的代码。隐藏函数通常会被命名为一些不常见或者随机的,因此可以尝试搜索这些字符...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值