2,签名文件(识别库函数)
2.0 为什么要制作sig文件
制作签名文件是逆向的前提之一;
由于要逆向的exe基本都是没有pdb文件(符号表),这样的话,使用ida就无法知道哪些是C库函数,会出现很多不太能理解的函数;
例如测试源码:
不生成pdb文件:
显示的printf函数无法识别,如果类似的函数太多了,就没办法继续分析了;
制作sig文件,就是要ida自动化识别各种库函数;
2.1 制作sig文件
列出LIBC.LIB中的所有obj:
LINK /lib /list LIBC.LIB
单独导出printf.obj:
LINK /lib /extract:build\intel\st_obj\printf.obj LIBC.LIB
提出printf.obj的特征,保存为pat文件:
pcf printf.obj