IDA pro Flair 制作静态库文件签名

最新推荐文章于 2024-05-21 09:49:55 发布
最新推荐文章于 2024-05-21 09:49:55 发布
阅读量3.2k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cwg2552298/article/details/81749521
版权

        在逆向分析软件的时候,会遇到应用程序静态链接了某些开源的库,而IDA并不能对这些开源的

库函数进行识别,这时候就需要我们去制作对应库文件的 函数签名文件,帮助IDA识别静态链接的

库函数。

      需要的工具以及文件:pcf.exe - 生成模式文件的工具; sigmake.exe - 生成sig文件的工具;

开源库的源代码编译器

      注意:I.因为不同编译器生成的汇编代码是不同的。所以,你最好要知道你的目标软件是用

什么编译器编译生成的,否则生成的sig文件将无法帮助IDA识别静态链接的函数。

II.制作pat文件时会遇到冲突,可根据.exc文件的提示解决冲突。

       下面我将举一个简单的栗子,生成一个静态库,然后写一个简单程序静态链接库函数,

制作sig文件,让IDA识别这个静态库函数。

1. 用Dev C++ 创建一个静态库 ,并用 Release 编译这个库。

2. 写一个调用这个静态库函数的简单程序。

直接编译是过不了的,要添加.a文件才能过编译。

添加.a文件:

并且要设置去除符号链接:

 

 

现在可以用Release 编译了:

 

3. 先IDA载入刚刚编译好的程序看看main函数。

很明显没能识别出静态编译的函数。好了,现在我们来制作sig文件来识别静态库函数。

 

4. 制作 pat 文件

5.制作 sig 文件

 

6.把sig文件拷贝到IDA sig的目录,在IDA shift+F5 已经可以识别了。 

7.查看结果啦~

 

cwg2552298
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
利用ida pro的flare功能识别静态链接函数签名
jmp esp
07-07 4441
前言在逆向分析的过程中,如果一个静态链接文件被去除了函数签名,那么整个文件将会变得极其难以识别,我们很难通过手动去识别各个函数。好在ida pro提供了利用模式识别方式进行识别的功能,使得我们可以很快速的得到很多函数的签名。FLIRTIDA拥有一个FLIRT技术,全称Fast Library Identification and Recognition Technology,即快速识别和检测技术
IDA制作签名
Cray
08-08 917
我这里使用的是IDA6.8的制作签名包 如果我们知道是什么语言 的,但是没有签名包,就自己做一个 手工方式: 1.pcf.exe source.lib XXXX.pcf 2.sigmake.exe XXXX.pcf YYYY.sig 这里一般会生成一个XXXX.exc的文件,打开它,删除以;开始的几行,保存退出 3.再次执行sigmake.exe XXXX.pcf YYYY.sig,就会看到有YY...
SigMaker-x64:IDA Pro 7.0的签名制作利器
gitblog_00027的博客
05-21 310
SigMaker-x64:IDA Pro 7.0的签名制作利器 项目地址:https://gitcode.com/ajkhoury/SigMaker-x64 1、项目介绍 SigMaker-x64是一个专为IDA Pro 7.0设计的插件,由dude719更新。请注意,此插件不支持IDA Freeware 7.0版本。它最初是由P4TR!CK开发,并得到bobbysing和xero|hawk的贡献...
IDA生成sig签名文件
qq_35426012的博客
12-03 2121
IDA介绍 IDA是一款强大的静态分析(程序不需要运行时直接查看汇编)工具,OD相反,OD是强大的动态追踪(程序运行时分析)工具 IDA签名的作用 因为有些版本的IDE在release版本下IDA识别不了的函数名,如我在vc6.0下选择MT(多线程静态编译),release版本编译一个pritnf的程序 代码如下: int main(int argc, char* argv[]) { p...
outlook 签名_Outlook 2007中的电子邮件签名礼节-适当的Flair
cunfuxiao7305的博客
10-01 475
outlook 签名A while back we had a nice discussion about Email Signature Netiquette. How much flair was too much? 前一段时间,我们对电子邮件签名网络礼节进行了很好的讨论。 多少才华过大? I talked about creating more dynamic and customized ...
IDApro权威指南》个人学习笔记
10-11
_IDApro权威指南个人学习笔记_ 《IDApro权威指南》个人学习笔记是关于IDApro反汇编工具的使用指南,该指南涵盖了IDApro的基础功能、指令优化、数组、结构体、网络节点等方面的知识点。 基础功能强化 IDApro是一款...
idapro so文件查看神器
10-06
idapro so文件查看神器,idapro so文件查看神器,idapro so文件查看神器
逆向分析-IDA pro恶意代码(Crackme.exe)静态逆向分析
最新发布
06-14
C++语言编写的简易移位加密程序,帮助初学者小试牛刀,练习IDA pro静态逆向分析。
静态逆向调试工具ida pro版本
06-16
静态逆向调试工具ida pro版本,windows和linux都能用,免费分享
IDA pro逆向工具的使用以及逆向分析程序实例操作
04-18
IDA pro逆向工具的初步入门,此资源是针对IDA pro的功能实现的一些小案例,不仅是代码编写实现也更注重内容上的需求分析和方案设计,所以在学习的过程要结合这些内容一起来实践,并调试对应的代码。
flair70.zip
05-13
flair70 ida 函数签名工具 flair70 ida 函数签名工具flair70 ida 函数签名工具
批量制作IDA静态签名文件的脚本
lixiangminghate的专栏
09-27 1185
网上有很多文章介绍制作静态签名(sig)文件,供IDA加载使用。这些文中都提到一个批处理文件:lib2sig.bat,不得不说这是一个很强大的脚本----一次为一个lib文件生成sig文件。 但是,美中不足的地方是:如果需要为大量lib文件制作sig文件,还是有点麻烦,所以,我为此对这个脚本进行了修改,并另外写了一个脚本配合着调用它。 1.先看lib2sig.bat: md %1_objs...
逆向——IDA制作符号文件
cszrydn的专栏
05-26 735
1、环境变量添加:pcf.exe、sigmake.exe和link.exe的路径 pcf和sigmake如果没有从ida安装目录找到,需要下载。可以从这里下载 链接:https://pan.baidu.com/s/1omfjlTW7uKoX_Ze50O7uhg 提取码:4ky8 下载的文件也包含link.exe 将文件目录添加到环境变量 2、批处理文件:lib2sig.bat md %1_objs copy %1.lib %1_objs\%1.lib cd %1_objs for
使用IDA FLAIR生成SIG文件
好记性不如烂笔头
08-20 2376
背景介绍 IDA的SDK中提供的FLAIR SIG TOOLS,可以从静态生成对应的PTN文件,再进一步生成SIG文件。这个文件也就是我们想要生成的,可以应用在IDA中,增加symbol的。(原理大致是根据函数汇编指令的signature特征和函数名的对应关系,然后,在应用SIG时,去匹配特征,并将匹配到的函数名修改。)因为函数的特征是根据函数的汇编指令生成的,所以,可能会存在冲突,当有冲突产...
IDA FLAIR工具说明
学习备忘录
11-30 1万+
官方下载(需要用户名密码):http://www.hex-rays.com/products/ida/support/ida/flair61.zip   FLAIR——文件快速识别与鉴定技术(Fast Library Acquisition for Identification and Recognition) =======================================
[pwn&re]使用IDA flair恢复静态编译去符号的函数名
热门推荐
Breeze的博客
12-31 1万+
使用IDA恢复去符号的函数名 文章目录使用IDA恢复去符号的函数名IDA flair自己制作签名文件自动检测脚本 在一些时候经常遇到静态编译并且去符号的题目,打开的画风就是这样的: 和这样的: 虽然说我们也可以根据参数的类型或者参数的数量手动分析出原函数的名字或功能,但无论如何也太麻烦了,再者有的时候还会有一些其他的干扰,那更会加大分析难度,这里提供一个简单的还原函数名称的IDA功能:f...
IDA反汇编工具详解之工程和窗口
yang1fei2的博客
03-19 1511
程序员使用编译器、汇编器和链接器中的一个或几个创建可执行程序的过程叫做编译过程(代码输入 --> 可执行程序输出)使用反汇编器和反编译器回溯编译过程来撤销汇编和编译过程,输出汇编语言或高级语言的过程叫做反汇编(机器语言输入 --> 汇编语言或高级语言输出)
怎么用IDA Pro把一个hex文件转化成c语言
06-12
将一个Hex文件转换成C语言代码通常称为反汇编(Disassembly)。IDA Pro是一款功能强大的反汇编工具,可以帮助您完成这个任务。 以下是使用IDA Pro将Hex文件转换成C语言的一般步骤: 1. 打开IDA Pro并加载Hex文件,可以通过“File -> Open”菜单或使用快捷键“Ctrl+O”来打开文件。 2. 在IDA Pro中,选择“Options -> General...”菜单,然后在“Processor type”下拉列表中选择正确的处理器类型。 3. 在IDA Pro中,选择“Options -> Disassembly...”菜单,然后在“Output”选项卡中选择“C header file”作为输出格式。 4. 在IDA Pro中,选择“File -> Produce file -> Create C header file...”菜单,然后选择要保存输出文件的位置和名称。 5. 等待IDA Pro完成反汇编过程。一旦完成,您应该能够在指定的输出文件中找到转换后的C语言代码。 请注意,IDA Pro的反汇编结果可能不完全准确,因此您可能需要手动编辑生成的C代码,以使其符合您的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值