windows逆向基础01:制作签名文件

最新推荐文章于 2022-03-28 16:54:27 发布
最新推荐文章于 2022-03-28 16:54:27 发布
阅读量974 收藏
点赞数
分类专栏: windows逆向分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Solena/article/details/79399019
版权
本文介绍了逆向工程中制作签名文件的重要性,特别是在没有pdb文件时,帮助ida识别C库函数。详细讲解了如何制作、使用和批量生成sig文件,以便ida自动化识别库函数。
摘要由CSDN通过智能技术生成

2,签名文件(识别库函数)

2.0 为什么要制作sig文件

制作签名文件是逆向的前提之一;

由于要逆向的exe基本都是没有pdb文件(符号表),这样的话,使用ida就无法知道哪些是C库函数,会出现很多不太能理解的函数;
例如测试源码:

不生成pdb文件:

显示的printf函数无法识别,如果类似的函数太多了,就没办法继续分析了;

制作sig文件,就是要ida自动化识别各种库函数;

2.1 制作sig文件

列出LIBC.LIB中的所有obj:

LINK  /lib /list LIBC.LIB

单独导出printf.obj:

LINK  /lib /extract:build\intel\st_obj\printf.obj LIBC.LIB

提出printf.obj的特征,保存为pat文件:

pcf printf.obj
最低0.47元/天 解锁文章
debugat
关注
专栏目录
[网络安全自学篇] 五十七.PE文件逆向之什么是数字签名及Signtool签名工具详解(一)
杨秀璋的专栏
03-10 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文讲解了i春秋YOU老师的小白渗透之路,并结合作者系列文章总结Web渗透技术点。本文将开启PE文件逆向解析相关内容,预计连续分享六篇文章,第一篇告诉大家什么是数字签名,并采用Signtool工具对EXE文件进行签名,后续深入分析数字签名的格式及PE病毒内容。本文章适合初学者学习,希望对您有所帮助~
[网络安全自学篇] 六十一.PE文件逆向之数字签名详细解析及Signcode、PEView、010Editor、Asn1View等工具用法(二)
热门推荐
杨秀璋的专栏
03-24 1万+
本系列虽然叫“网络安全自学篇”,但由于系统安全、软件安全与网络安全息息相关,作者同样分享一些系统安全案例及基础工具用法,也是记录自己的成长史,希望大家喜欢,一起进步。前文分享了数字签名的原理知识和Signtool签名工具,这篇文章将详细解析数字签名,采用Signtool工具对EXE文件进行签名,采用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助~
IDA sig文件的生成与使用
生命不息 折腾不止
08-05 2536
问题引入:Sig文件能使得IDA识别更多的符号,便于分析; 前面在《IDA 逆向技巧》中有提到sig文件制作,自己写一个demo编译成为lib,再生成sig文件,具体步骤如下; 1、使用IDA打开lib,可以看出lib里面有多个obj文件; 2、使用link.exe 将lib中的obj文件导出来(这个link.exe 来自于哪里?) 命令:link -lib /extract:test...
sig文件制作
weixin_30876945的博客
08-02 263
一 配置环境变量 将link.exe,pcf.exe,sigmake.exe添加进PATH环境变量(选择“我的电脑” 》“属性”》“高级” 》“环境变量”》将文件地址添加进“path”) 二 从lib文件提取obj文件 如果运行link.exe出现 看这篇博客解决问题:https://www.cnblogs.com/Mayfly-nymph/p/11279569.h...
18.IDA-创建自己的sig
liujiayu2的专栏
08-23 770
工具 flirt68.zip pcf.exe/pcf: 生成一个模式文件.pat  sigmake.exe: 生成一个签名文件.sig 流程 创建PAT 生成pat文件,pat.txt文件说明各个模式的格式。 第一部分 列举了它所代表的函数的初始字节序列,最长为32个字节。一些字节因为重定位的入口而有所不同,这些字节将得到“补偿”,每个字节以
制作sig文件
RedLobster的博客
02-23 2422
本文为在学习过程中的笔记,写的不好请见谅. 在使用IDA的过程中,由于缺符号文件,有些库函数不能识别. 例 #include "stdafx.h" int main(int argc, char* argv[]) { printf("Hello World!\n"); return 0; } .text:00401000 _main proc
IDA中的SIG应用
weixin_34037173的博客
01-24 213
SIG在IDA中相当于符号文件的作用,如果是自己写的PE程序,编译后有OBJ文件,可以通过工具把它转化为一个SIG 便于在IDA观看。要应用SIG需要把SIG文件拷贝到IDA目录下的sig文件夹中,然后在IDA中shift+F5在右键添加相应添加相应的项目,反汇编中的函数名就变为原本的函数名,这样方便查看。如果是第三方lib 也可以转换出一个sig 其中转换需要用到的工...
07:数字签名制作及签名工具Signtool-GUI Ver.0 可生成可自定义的受信任的数字签名.rar
12-27
这些类型的文件通常是Windows系统中的可执行文件、动态链接库和系统驱动程序,对它们进行签名尤其重要,因为它们直接影响到系统的稳定性和安全性。 总的来说,"07:数字签名制作及签名工具Signtool-GUI Ver.0 可...
EXE资源修改器--修改文件内容文件签名等等 强大
01-17
EXE资源修改器是一种工具,专门用于对可执行文件(EXE)进行各种类型的修改,如改变文件内容、调整文件签名等。这类修改器在软件开发、逆向工程和调试过程中可能有所应用,但同时也可能被滥用进行非法操作,如篡改...
SigMake_ida_SigMake_签名生成_
10-02
一个基于IDA sigmake的工具
.sig文件制作
kernweak的博客
08-29 2530
找到xxx.lib,然后在IDA目录找到flair68.zip(我这里是ida6.8) 然后 第一步:使用pcf生成对应静态库的pat文件 pcf 文件名 生成的文件名.pat 第二步:使用sigmake,将pat文件转为sig文件 sigmake pat文件 生成的sig文件.sig 将exc文件中的前4行删除 再次执行命令 sigmake pat文件 生成的sig文件.s...
linux .sig文件,使用.sig签名验证文件
weixin_35112917的博客
05-02 1073
Linux下载文件的时候,由于网络等原因,下载的文件可能不完整,对于别有心机的人可以更改文件,这就需要我们对文件的完整性进行验证。这里以securityonion-14.04.5.2.iso为例进行验证。首先下载securityonion-14.04.5.2.iso和securityonion-14.04.5.2.iso.sig文件gpg软件,Linux系统默认是安装的,如果没有请自行解决然后进行...
IDA中应用SIG文件
lixiangminghate的专栏
08-02 6154
SIG文件在IDA的作用中相当于符号文件。如果是自己写的PE文件,在编译过程中产生OBJ文件,可以通过工具为它生成SIG文件。先把SIG文件拷贝到IDA目录的sig文件夹中,加载PE文件后依次点击view-"Open subview"-Signatures(快捷键shift+F5)打开已应用的签名窗口: 在"List of applied library modules"右键添加sig文件...
.sig 签名文件怎么使用
哈哈虎的博客
03-28 6029
网上下载时经常看到同时出现一个 .sig 签名文件,或者 gpg 公钥,只知道他是用来验证下载包(.deb,.rpm…)的完整性的,不怎么注意,今天尝试了解他到底怎么用的时候,还费了一些周折! 正好准备学习ClamAV ,就以 https://www.clamav.net/downloads 为例 我这里是 ubuntu 20.04 ,自然是下载 .deb ,同时也下载了那个 .deb.sig $ ls clamav-0.104.2.linux.x86_64.deb clamav-0.104.2.li
使用IDA FLAIR生成SIG文件
好记性不如烂笔头
08-20 2421
背景介绍 IDA的SDK中提供的FLAIR SIG TOOLS,可以从静态库生成对应的PTN文件,再进一步生成SIG文件。这个文件也就是我们想要生成的,可以应用在IDA中,增加symbol的。(原理大致是根据函数汇编指令的signature特征和函数名的对应关系,然后,在应用SIG时,去匹配特征,并将匹配到的函数名修改。)因为函数的特征是根据函数的汇编指令生成的,所以,可能存在冲突,当有冲突产...
IDA制作签名
子曰小玖的博客
03-01 1167
1. 目的 识别静态链接且被去除符号的库函数。 2. 原理 IDA用签名匹配IDA数据库中的函数,如果匹配上自动重命名函数 注意:只有使用 IDA 哑名的函数才能被自动重命名。换言之,如果你已经对一个函数进行了重命名,而后这个函数与一个签名相匹配,那么,这时 IDA 不再对这个函数进行重命名。因此,在分析过程中,你应该尽可能早地应用签名 3. 制作方法 3.1 静态链接且被去除符号的可执行文件 为了展示IDA签名的效果,我用以下例子: ...
批量生成idapro的Sig文件
如鹿渴慕泉水的专栏
11-22 792
md %1_sig cd %1_sig for /F %%i in('link -lib /list %1.lib') do link -lib /extract:%%i %1.lib for %%i in(*.obj) do pcf -g0 %%i sigmake-n"MyLIBC" *.pat MyLIBC.Sig del *.obj cd..
iOS应用逆向工程入门:从基础到实践
1. iOS逆向基础:讲解了逆向工程的基本概念,如二进制文件解析、iOS设备架构等,并介绍了iOS软件生命周期的关键步骤,如dyld_decache等。 2. 工具介绍: - class-dump:用于提取Objective-C类信息。 - Theos:一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值