二进制静态分析---库函数识别

最新推荐文章于 2024-06-09 09:44:50 发布
最新推荐文章于 2024-06-09 09:44:50 发布
阅读量4.1k 收藏 17
点赞数 4
分类专栏: 逆向分析 文章标签: 安全 逆向分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abel_big_xu/article/details/124388798
版权

这里写自定义目录标题

一、问题

静态编译的程序中会包含很多库函数,这些库函数不是我们分析代码的关键,但是在分析的时候可能会分析到库函数中降低我们分析的效率。如果能够正确高效的识别这些库函数,就能加快我们分析的效率。

现有的方法可以分为三大类(我自己分的不一定准确)

  1. 通过对比签名文件(sig)的机器码序列来识别函数。如FLIRT、lscan等。
  2. 通过启发式的方式来识别函数。如Rizzo(可能是序列识别方式不同吧)
  3. 通过在线的平台的签名文件对函数进行识别。finger、lumina。

二、FLIRT(ida自带)

FLIRT是ida自带的函数识别方案,通过待分析函数与目标签名文件中的机器码序列来识别函数。FLIRT的签名识别方案只能提取静态编译库的符号表,无法对可执行二进制文件生成符号。在ida的sig文件夹中带有一些常见的签名文件。
前提条件:

  1. 需要知道待分析文件的使用了哪些库、以及库的版本
  2. 需要带有编译信息的库文件(或者需要源码)

FLIRT签名生成流程如下:
3. 对.lib或.a文件使用pelf提取生成PAT文件
4. 对PAT文件使用sigmake生成sig
在这里插入图片描述

下面是对deepin的libc.a(/lib/x86_x64_linux-gnu目录下)生成签名文件的过程:

  1. 生成PAT
  2. 生成sig
  3. 修复exec文件并重新生成sig文件
F:\tools\IDA_Pro_v7.5_Portable\SDK75\flair75\bin\win>pelf.exe libc.a libc.pat
F:\tools\IDA_Pro_v7.5_Portable\SDK75\flair75\bin\win\libc.a: skipped 6, total 1695

F:\tools\IDA_Pro_v7.5_Portable\SDK75\flair75\bin\win>sigmake.exe libc.pat libc.sig
libc.sig: modules/leaves: 1359/1688, COLLISIONS: 20
See the documentation to learn how to resolve collisions.

在生成sig的过程中如果出现冲突,需要对exec文件进行修复。

  1. 删除4行注释
  2. 在需要的行前面+
  3. 重新运行sigmake.exe libc.pat libc.sig

生成的exec文件如下所示
在这里插入图片描述
优点:能够比较好的识别函数,ida自带不需要额外安装。
缺点:需要事先知道被分析函数使用了那些库,并需要对这些库生成sig文件

三、lscan(没成功)

如果分析的程序没有可以参考的历史版本和二进制,可以使用lscan通过比对大量的sig文件来确定固件使用的第三方依赖
安装:真正有用的就是lscan.py(需要修改源码并适配python3)一个文件,其他为测试集。
常用的两个sig数据库为:
https://github.com/Maktm/FLIRTDB
https://github.com/push0ebp/sig-database
但是我测试并没有通过,报错显示节点太多???有知道的师傅可以交流一下
在这里插入图片描述
优点:在有较多sig文件时,能够辅助识别出函数使用了哪些库,并选择对应的sig进行函数识别。
缺点:使用的两个公开sig数据库没法正常使用。

四、Rizzo(需要有对比文件)

Rizzo使用启发式的函数识别方法,能够比FLIRT识别出更多的函数。同样Rizzo也需要现先有一个和被分析的程序类似的程序。
安装方法:https://github.com/fuzzywalls/ida下载rizzo.py和ida_shims.py放在plugins目录下(可能需要修复一些python3和python2语法不同的问题)就能使用
使用方法:
1.先对之前分析过的程序或者带有源码的程序生成Rizzo signature文件夹。file->Produce file->Rizzo signature file
2.打开待分析的程序加载Rizzo signature file。
在这里插入图片描述
加载符号文件,File->load file->Rizzo signature file
在这里插入图片描述

优点:启发式的识别方法,能够更好的识别出函数
缺点:需要有类似的分析样本或需要知道程序使用了哪些库函数,在此基础上才能很好的使用。

五、finger(好用)

阿里公开的函数识别插件,使用了阿里生成的签名库。
安装:

pip install finger_sdk
下载
https://github.com/aliyunav/Finger/blob/master/finger_plugin.py放入plugins中

安装成功会出现Finger按钮
在这里插入图片描述
优点:简单好用、识别比较准确
缺点:有些简单的函数无法识别正确(如getpid)需要自己对函数额外判断一下(尽信书不如无书)。大文件识别需要比较久的时间,且无法中断。

六、lumina(ida>7.2,有一定效果)

ida7.2新推出的功能,类似finger。ida官方出了一个符号识别服务器。但是正版太贵了,买不起。
山寨lumina安装:具体参数参考https://lumen.abda.nl/cert

1. 修改{IDA_HOME}\cfg\ida.cfg
LUMINA_HOST = "lumen.abda.nl"; // This semicolon is important!
LUMINA_PORT = 1235
2.安装签名文件:下载hexrays.crt(https://abda.nl/lumen/hexrays.crt)放到IDA根目录,重启IDA即可

使用:Lumina->Push all metadata
在这里插入图片描述

在这里插入图片描述
优点:类似Finger,如果公司里面自建服务器,应该会越用越好用。
缺点:公开使用的lumem貌似被污染了,能够识别的函数有限,不如finger好用。

总结

在知道程序使用的库函数时:可以先编译相关的库,再使用FLIRT、Rizzo、bindiff进行识别。
在不知道程序使用的库函数时:可以使用lscan先识别可能的库,再加载识别。也可以使用Finger或lumina进行识别。

个人比较倾向于对市面上有的库先构建签名文件(大量体力活),并在每天的分析中将分析的结果push到个人或公司的lumina服务器,方便日后对新样本的快速分析。

努力学习的大康
关注
  • 4
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用angr进行二进制静态分析
nku____的博客
11-15 4450
简介: angr是一个二进制代码分析工具,能够自动化完成二进制文件的分析,并找出漏洞。angr基于python,它将以前多种分析技术集成进来,­­­它能够进行动态的符号执行分析,也能够进行多种静态分析。本文以介绍angr的基本信息与静态分析二进制文件方法为主。 Angr的基本过程: (1)将二进制程序载入angr分析系统 (2)将二进制程序转换成中间语言(intermediate repr
二进制翻译中的库函数识别技术研究 (2006年)
05-13
介绍了在开发一个静态二进制翻译系统(I2A翻译系统)中的库函数识别技术,并提出了解决库函数识别问题的新的方法。基于IA-64体系结构的调用约定及实例分析证明,该方法是一种简单实用的库函数识别方法,经I2A系统...
神器出现!!!IDA8.3!!!
qq_47493625的博客
12-09 4530
链接:https://pan.baidu.com/s/1C21nvwEyooPgjB65AucKuw?pwd=qln2提取码:qln2。
关于ida f5时报错lumina无法连接到云服务器的问题
strider1123的博客
04-27 433
在用ida的时候不知道怎么回事突然就f5不了了,报错 Decompilation failure: 4005F7: cloud: Server is not available Please refer to the manual to find appropriate actions lumina: connect: 由于连接方在一段时间后没有正确答复或连接的主机没有反应,连接尝试失败。4...
探索IDA Lumina特性:离线服务器实现的奥秘
最新发布
gitblog_00029的博客
06-09 340
探索IDA Lumina特性:离线服务器实现的奥秘 项目地址:https://gitcode.com/synacktiv/lumina_server 项目介绍 这个开源项目是一个概念验证(Proof-of-Concept),它为IDA Pro的Lumina功能提供了一个离线服务器。该项目源于Synacktiv的研究团队,他们深入研究了IDA Lumina的功能并提出了这一创新解决方案。通过这个项目...
IDASignMaker:IDA高级技巧 API符号自动识别IDASignMaker
05-30
IDASigMaker 该技术使IDA能够识别由受支持的编译器生成的标准库函数, 并大大提高了所生成的汇编的可用性和可读性。 原帖子 工具版本 sigmake.exe v1.4.5 dumpsig.exe v1.20 使用方法 以 D:\Program Files\Microsoft Visual Studio\VC98\Lib\LIBC.LIB 为例子 cmd下运行 lib2sig.bat 参数lib的名字 lib2sig.bat libc 自动创建对应lib名字的文件夹libc_objs,将LIBC.LIB拷入,按任意键继续执行。 中间有提示按回车的,按回车 生成 libc.sig,改名为vc6libc.sig(已经存在一个),拷贝到IDA的sig/pc下,有目录限制的。 在IDA shift+F5 --> 右键 Apply new signature...,搜索vc6lib,应
c++ 输出二进制_PPC和MIPS指令集下二进制代码中函数参数个数的识别方法
weixin_39860919的博客
11-21 378
PPC和MIPS指令集下二进制代码中函数参数个数的识别方法尹小康,刘鎏,刘龙,刘胜利数学工程与先进计算国家重点实验室,河南 郑州 450001摘要:函数参数个数的识别有助于函数原型的恢复,是进行数据流分析以及其他安全分析的基础。为了提高对函数参数个数识别的准确率,提出一种依据函数调用关系的投票机制来确定函数参数个数的算法——Findargs。Findargs从PPC和MIPS指令集...
c++ 二进制类型_一种基于抽象恢复的静态二进制分析方法
weixin_39755003的博客
12-25 228
Abstraction Recovery for Scalable Static Binary Analysishttps://edmcman.github.io/papers/arthesis14.pdfAbstract 静态二进制分析相对于静态源码审计是更困难的,因为二进制处于更底层的位置,缺少了高层的抽象,例如变量,类型,函数,控制结构。 提出了一种抽象恢复的静态二进制分析技术。抽象恢复的...
二进制入门及静态分析基础
至臻求学,胸怀云月
12-07 1204
HACKing三部曲 理解系统 系统性的基础课程学习,深入理解计算机系统的运作机制 破坏系统 学习与创作漏洞挖掘与利用技巧 重构系统 设计与构建系统防护 《汇编语言》 《c++反汇编与逆向分析技术揭秘》》 《加密与解密4》? 《恶意代码分析实战》 《0day安全:软件漏洞分析技术》 《漏洞战争》 fuzz test 模糊测试 PE文件格式 PE文件(Portable Exec...
T9 情报板--开发包(VC)
12-06
开发者可以直接使用这些预编译的二进制文件,或者根据需求进行进一步的定制。 "lib"目录包含静态链接库文件,它们在编译阶段与代码链接,为程序提供功能支持。在项目构建过程中,开发者需要正确引用这些库文件,以...
alx-low_level_programming
02-09
2. **位操作**:C语言支持位操作,这是在底层编程中常见的操作,用于直接操作二进制数据。位操作可以用来设置、清除或测试特定位,这对于硬件控制和数据编码解码非常有用。 3. **系统调用**:通过C语言,程序员可以...
静态代码分析工具
07-20
PVS-Studio静态代码分析工具作为一种工具来检测代码中的缺陷和商业代码分析对比。越来越多的领域依赖计算机,代码的质量就成了关键。比如航天、国防、工业控制、金融等对安全性,稳定性要求很高的领域。PVS-Studio 分析源代码或者生成的目标文件,并不实际运行源代码生成的文件。PVS-Studio 能发现一些潜在问题,或者针对某些潜在问题给出警告。
SigMake_ida_SigMake_签名生成_
10-02
一个基于IDA sigmake的工具
Python-社区驱动的IDAFLIRT签名文件的集合
08-12
社区驱动的IDA FLIRT签名文件的集合
ESP32_CAMERA_QR-master_esp32-cam照片_esp_32camera_ESP32-CAMERA__ca
09-29
用户可以根据自己的需求修改这些代码,实现如人脸识别、二维码识别、图像分析等功能,或者将图像数据与其他设备或云服务集成。 5. **cam驱动**: ESP32-CAM的摄像头驱动是连接硬件和软件的重要部分。它负责初始化...
VlFeat库-做图像处理的必看
12-19
这些二进制文件通常包括动态链接库和静态链接库,以及可能的头文件,供不同的编程语言和平台使用。 通过学习和实践VlFeat库,开发者可以实现诸如物体识别、图像匹配、视频分析等复杂任务。此外,VlFeat的高效和跨...
ida如何识别linux内核函数,如何识别IDA反汇编中动态链接库中的函数
weixin_39968852的博客
05-03 375
在使用IDA静态反汇编时,如果正在逆向的文件中有动态链接库函数(比如调用了程序自定义so库中的函数),IDA只会显示一个地址,跟进去会发现是延迟绑定中关于plt的代码,无法知道具体调用了哪个函数,对于逆向起来很是麻烦,本文介绍如何识别这样的函数。按道理讲,虽然不能动态调试,静态分析不能看到运行时绑定的地址,但是具体动态链接的过程一定也是根据文件中的信息,所以静态也一定可以知道调用的是哪个函数,但是...
如何识别IDA反汇编中动态链接库中的函数
weixin_30363509的博客
01-18 867
在使用IDA静态反汇编时,如果正在逆向的文件中有动态链接库函数(比如调用了程序自定义so库中的函数),IDA只会显示一个地址,跟进去会发现是延迟绑定中关于plt的代码,无法知道具体调用了哪个函数,对于逆向起来很是麻烦,本文介绍如何识别这样的函数。 按道理讲,虽然不能动态调试,静态分析不能看到运行时绑定的地址,但是具体动态链接的过程一定也是根据文件中的信息,所以静态也一定可以知道调用的是哪个函数,...
IDA---识别函数处理
lixiangminghate的专栏
08-20 2735
有时候会遇到IDA无法自动识别某个函数,地址表现为红色, 如下: (附注:这种状态下无法反汇编)。选中这部分代码,进行如下操作:Edit -> Functions -> Create function 然后就能愉快地F5了
c++ 二进制转十进制库函数
06-28
### 回答1: C语言标准库中提供的二进制转十进制的函数是strtol。他接收两个参数,第一个是表示二进制数的字符串指针,第二个是指针类型的参数,表示需要转换的数值的类型(即转换后的十进制数的类型)。该函数返回转换后的十进制数。 使用strtol函数转换二进制字符串为十进制数的步骤如下: 1. 把二进制字符串作为第一个参数传给函数。 2. 把第二个参数设置为NULL。 3. 把第三个参数设置为2,表示需要转换的是二进制数。 4. 检查转换是否成功。如果转换失败,那么返回的结果为0。 例如,下面的代码片段将二进制数"1010"转换为整型的十进制数: ``` char *str = "1010"; long num = strtol(str, NULL, 2); ``` 需要注意的是,如果字符串不是一个合法的二进制数,则转换的结果是不确定的。此时,建议在转换前进行字符串的有效性检查。 ### 回答2: 二进制转十进制库函数是一种可以将二进制数字转换为对应的十进制数字的函数。在计算机科学领域中,使用二进制表示数字是非常常见的,但有时候需要将二进制数字转换为十进制进行运算或展示。这时候,使用二进制转十进制库函数可以非常方便地实现这个转换。 在C语言中,可以使用库函数strtoul()来进行二进制转十进制的转换。strtoul()函数的原型如下: ``` unsigned long int strtoul(const char *nptr, char **endptr, int base); ``` 其中,第一个参数nptr是需要进行转换的字符串,这个字符串中应该只包含0和1这两个数值。第二个参数endptr是一个指针类型的变量,在函数执行完成后,它会被赋值为指向nptr中第一个无法进行转换的字符的位置。第三个参数base表示输入数字使用的进制,这里应该传递2,表示输入数字是二进制。 使用strtoul()函数可以非常简便地将一个二进制字符串转换为对应的十进制数字,该函数还支持将数字作为参数传递,而不是字符串。例如,以下代码将二进制数110101转换为十进制数53: ``` #include <stdlib.h> #include <stdio.h> int main(void) { char *binary_str = "110101"; char *endptr; unsigned long int decimal = strtoul(binary_str, &endptr, 2); printf("Binary string %s in decimal is %lu\n", binary_str, decimal); return 0; } ``` 在这个例子中,我们传递了一个二进制字符串110101给strtoul()函数,并将它转换为对应的十进制数53。最终,程序输出binary字符串110101转换为十进制的结果:53。 总之,使用C语言库函数strtoul()可以非常方便地将二进制字符串转换为对应的十进制数字。需要注意的是,二进制字符串中应该只包含0和1,否则转换结果可能出现错误。 ### 回答3: 在讨论二进制转十进制库函数之前,我们先来了解一下什么是二进制和十进制。 二进制是一种数制,它只有两个数字0和1,因此它也被称为“0/1数码系统”。它用于计算机科学和电子领域,因为这些领域的通信和计算只能使用二进制。相对的,十进制是我们日常生活中最常用的数制,它有0到9这10个数字。 当我们需要把一个二进制数转换为十进制数时,我们可以使用库函数,比如Python中的“int”函数。这个函数可以将一个由字符串表示的数字转换为整数,而字符串中可以包含不同的进位制,如二进制、八进制和十六进制。 在Python中,我们可以使用“int(二进制数,2)”来将一个二进制数转换为十进制数。其中的“2”代表进制,指定要把二进制转换成十进制。 举个例子,如果我们要将二进制数1010111转换为十进制数,我们可以使用以下代码: ``` num = '1010111' dec_num = int(num, 2) print(dec_num) ``` 输出结果为:87 因此,通过使用“int”函数,我们可以很方便地把二进制数转换为十进制数,避免手动计算的繁琐过程。在实际开发中,我们可以结合其他库函数和语法来完成更多的计算和处理操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值