利用ida pro的flare功能识别静态链接函数签名

最新推荐文章于 2023-03-02 16:05:08 发布
VIP文章 最新推荐文章于 2023-03-02 16:05:08 发布
阅读量4.3k 收藏 1
点赞数 1
分类专栏: reverse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29343201/article/details/74656456
版权

前言

在逆向分析的过程中,如果一个静态链接文件被去除了函数签名,那么整个文件将会变得极其难以识别,我们很难通过手动去识别各个库函数。好在ida pro提供了利用模式识别方式进行识别的功能,使得我们可以很快速的得到很多函数的签名。

FLIRT

IDA拥有一个FLIRT技术,全称Fast Library Identification and Recognition Technology,即快速库识别和检测技术。这项技术的目的就是为了从文件中识别库函数,对于我们想要的这种情况来说非常适合。

文件创建即使用

FLIRT依赖于sig文件,sig文件需要通过一个工具来进行创建,ida一般会带有这个工具,叫做flairflair通过先生成.pat文件,即一个模式文件,然后通过sigmake工具从.pat文件里得到.sig文件最终用于识别。

在flair的bin文件夹里的几个工具:
* pcf/pelf用来得到.pat文件,分别对应coff文件和elf文件,但是要求文件是静态链接的
* sigmake用来从.pat文件里提取得到.sig文件

得到.sig文件之后就可以应用到分析当中了,应用方法也很简单:
在ida中:file -> Load file -> flirt signature file就可以应用

最低0.47元/天 解锁文章
Anciety
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDApro权威指南》个人学习笔记
10-11
IDApro权威指南》个人学习笔记
网络安全工具大合集
2201_75719295的博客
04-08 861
提供简化的便携的底层网络路由接口,包括网络地址操作,内核arp高速缓存,路由表查询和操作,网络防火墙,网络接口查询操作,IP隧道,二进制IP包和以太网传送框架。它的目标是收集,分类,让你容易找到想要的工具,创建一个工具集,你可以一键检查和更新。它的特征包含,嗅探活动链接,内容过滤,和许多其他有趣的技巧 . 它支持许多协议的主动和被动解析,并且包含许多网络和主机分析特性.– 一个强大的,灵活的,方便的工具用于多种类型的中间人攻击,篡改HTTP,HTTPS,和TCP实时流量,嗅探证书的等敏感信息。
ida主流插件使用》(2)windows下stack_strings插件使用
kernweak的博客
04-12 679
FireEye公司发布了一些逆向插件,即stack_strings插件,该插件是栈字符串识别插件,可以自动识别栈上局部变量为字符串的插件,字符串形式如下,并自动的加上注释。 项目主页地址: https://github.com/fireeye/flare-ida 该项目有4个插件 本文介绍 stack_strings插件 首先项目使用了vivisect模块,所以在使用该插件之前需要...
ida flare_emu模拟执行批量解密字符串(Orchard_Botnet)
jentle8的博客
11-02 417
使用模拟执行批量解密堆栈字符串 ida flare-emu
利用ida对程序的静态链接库进行处理(转)
zhangmiaoping23的专栏
12-28 6790
转:http://seckungfu.com/blog/2012/07/14/li-yong-idadui-cheng-xu-de-jing-tai-lian-jie-ku-jin-xing-chu-li/ 利用ida对程序的静态链接库进行处理 用IDA进行反汇编时最怕遇到的就是跟踪到了程序静态链接的库函数中,看得一头雾水不说,还浪费了大量的时间。其实如果有符号表的话,看看函数名就知道
IDA6.1制作system函数签名文件
talk is cheap;Later equals never;如果对你有帮助,点赞就行,没有建设性的建议请别留言:P
08-30 1544
前言system在LIBC.LIB中, 但是将LIBC.LIB制作为sig文件后, 在IDA打开调用system函数的工程中加载LIBC.sig后, 并不能看到system函数识别.IDA不认得LIBC.LIB中的system函数原因, 和工程中system函数签名不一样. 可以比对pat文件, 看特征码是否和本工程中的system函数相同.需要自己做一个MASM静态库, 将system函数
IDA FLAIR工具说明
热门推荐
学习备忘录
11-30 1万+
官方下载(需要用户名密码):http://www.hex-rays.com/products/ida/support/ida/flair61.zip   FLAIR——库文件快速识别与鉴定技术(Fast Library Acquisition for Identification and Recognition) =======================================
使用IDA FLAIR生成SIG文件
好记性不如烂笔头
08-20 2320
背景介绍 IDA的SDK中提供的FLAIR SIG TOOLS,可以从静态库生成对应的PTN文件,再进一步生成SIG文件。这个文件也就是我们想要生成的,可以应用在IDA中,增加symbol的。(原理大致是根据函数汇编指令的signature特征和函数名的对应关系,然后,在应用SIG时,去匹配特征,并将匹配到的函数名修改。)因为函数的特征是根据函数的汇编指令生成的,所以,可能会存在冲突,当有冲突产...
如何使用FindFunc在IDA Pro中寻找包含指定代码模式的函数代码
ALLEN'Blog
03-02 939
Pro插件,可以帮助广大研究人员轻松查找包含了特定程序集、代码字节模式、特定命名、字符串或符合其他各种约束条件的代码函数。FindFunc是一个IDA Pro插件,基于Python开发,而且不需要安装其他的依赖组件包。FindFunc的主要功能是让用户指定IDA Pro中的代码函数必须满足的一组“规则”或约束。FindFunc随后将查找并列出满足所有规则的所有函数。接下来,将项目中的findfuncmain.py文件拷贝到IDA Pro的插件目录中即可。5、以简单ASCII格式将规则存储/加载到文件;
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
functions-plus:IDA Pro插件以树状视图显示功能
05-15
IDA Pro插件可以使功能树状视图。 插件解析函数名称,并按名称空间对它们进行分组。 当前不支持搜索,无法排序,没有上下文菜单。 您可以通过将show_extra_fields设置为True来启用在脚本中显示函数属性。 用法 ...
交互式反汇编器 IDA Pro
11-13
交互式反汇编器 IDA Pro (International Disassemble Professional) 使用前请先解压所有文件,并运行 IDAProHelper.exe 进行绿化 另请注意,others目录下面是一些附属文件,如下: 1.如果需要Python3.8支持,请安装...
静态逆向调试工具ida pro版本
06-16
静态逆向调试工具ida pro版本,windows和linux都能用,免费分享
TCABEE 008-2020 轨道交通车站高效空调系统技术标准.docx
05-07
TCABEE 008-2020 轨道交通车站高效空调系统技术标准.docx
node-v5.12.0-x86.msi
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基于阿里云的 ECS 部署 Ghost 博客内含源码以及说明书可以自己运行复现.zip
最新发布
05-07
基于阿里云的 ECS 部署 Ghost 博客内含源码以及说明书可以自己运行复现.zip
2023-04-06-项目笔记 - 第一百二十六阶段 - 4.4.2.124全局变量的作用域-124 -2024.05.07
05-07
2023-04-06-项目笔记-第一百二十六阶段-课前小分享_小分享1.坚持提交gitee 小分享2.作业中提交代码 小分享3.写代码注意代码风格 4.3.1变量的使用 4.4变量的作用域与生命周期 4.4.1局部变量的作用域 4.4.2全局变量的作用域 4.4.2.1全局变量的作用域_1 4.4.2.124全局变量的作用域_124 - 2024-05-07
node-v10.4.1-linux-armv7l.tar.xz
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
66297787762147sf22346mod.apk
05-07
66297787762147sf22346mod.apk
ida pro用Python获得指定函数内数据
06-01
要在IDA Pro中使用Python获得指定函数内数据,可以使用idaapi模块提供的函数和类。下面是一个简单的示例,用于获取名为"my_function"的函数内部的所有xrefs。 ```python import idaapi # 获取函数地址 func_ea = ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值