利用FLIRT恢复静态编译程序的符号

最新推荐文章于 2024-04-09 07:48:21 发布
最新推荐文章于 2024-04-09 07:48:21 发布
阅读量1k 收藏 23
点赞数 19
文章标签: linux 安全 iot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cz010822/article/details/135137246
版权
本文详细介绍了如何使用FLAIR工具在IDAPro中恢复静态编译库的函数名称,包括创建pat文件、处理冲突并生成签名文件,以及在IDA中添加签名进行解析的过程。
摘要由CSDN通过智能技术生成

恢复前的函数名

无法判断危险函数

flair工具描述

IDA中提供了一个东西做FLIRT:库文件快速识别与鉴定技术(Fast Library Identification and Recognition Technology),能通过一个静态链接库的签名文件,来快速识别被去符号的程序中的函数,从而为函数找到符号

在IDA的插件目录下有一个flair70.zip的压缩包,里面放着各个版本的FLAIR解析器,win的,mac的,linux的都有

恢复流程

  1. 找到用于静态编译的静态库

  2. 用FLAIR解析器为该库创建一个pat文件

  3. 用sigmake来处理生成的pat文件,并生成一个签名文件

  4. 将生成的签名文件复制到IDA的/sig/目录中

  5. 在IDA中shift+F5,选择添加sig文件进行解析

完整操作

 找到用于静态编译的静态库

1  在linux下

2  库文件的地址:/usr/lib/下的 libc.a 库文件 

3  将 libc.a 文件复制到 /flair70/linux/bin/ 目录下

 

 用FLAIR解析器为该库创建一个pat文件

1  chmod 777 pelf    //赋予执行权限

2  chmod 777 libc.a    //赋予执行权限

3  ./pelf libc.a test.pat    //创建pat文件

4  可能会报错:Fatal [/home/chen/flair70/bin/linux/libc.a] (libc-start.o): Unknown relocation                            type 42 (offset in section=0x19f1).

5  解决办法:./pelf -r42:0:0 libc.a test.pat

 

 用sigmake来处理生成的pat文件,并生成一个签名文件

1  ./sigmake test.pat test.sig    //创建签名文件

2  可能会报错:test.sig: modules/leaves: 1685/1966, COLLISIONS: 8

See the  documentation  to learn how to resolve collisions.

3  解决办法:这个文件中出现了一堆的冲突函数的选项,在签名添加+或者-,或者什么也不添加,添加完以后,记得删除前面的 ";" 开头的四行,再次执行上面的命令,直到不产生报错

4  更改 test.exc 文件前,也要为其赋权

 

 将生成的签名文件复制到IDA的/sig/目录中

1  将生成的 test.sig 文件放在 ida 下的 sig 目录下

在IDA中shift+F5,选择添加sig文件进行解析

_Dream_C
关注
  • 19
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
flair70.zip
05-13
flair70 ida 函数签名工具 flair70 ida 函数签名工具flair70 ida 函数签名工具
二进制静态分析---库函数识别
abelxu
04-24 4567
这里写自定义目录标题一、问题二、FLIRTida自带)三、lscan(没成功)四、Rizzo(需要有对比文件)五、finger(好用)六、lumina(ida>7.2,有一定效果)总结 一、问题 在静态编译的程序中会包含很多库函数,这些库函数不是我们分析代码的关键,但是在分析的时候可能会分析到库函数中降低我们分析的效率。如果能够正确高效的识别这些库函数,就能加快我们分析的效率。 现有的方法可以分为三大类(我自己分的不一定准确) 通过对比签名文件(sig)的机器码序列来识别函数。如FLIRT、lsc
[pwn&re]使用IDA flair恢复静态编译去符号的库函数名
热门推荐
Breeze的博客
12-31 1万+
使用IDA恢复符号的库函数名 文章目录使用IDA恢复符号的库函数名IDA flair自己制作签名文件自动检测脚本 在一些时候经常遇到静态编译并且去符号的题目,打开的画风就是这样的: 和这样的: 虽然说我们也可以根据参数的类型或者参数的数量手动分析出原函数的名字或功能,但无论如何也太麻烦了,再者有的时候还会有一些其他的干扰,那更会加大分析难度,这里提供一个简单的还原库函数名称的IDA功能:f...
深入了解 IDA F.L.I.R.T.技术
最新发布
qq_29947615的博客
04-09 459
FLIRT 全称是 Fast Library Identification and Recognition Technology(快速库函数标识和识别技术)。翻译文章。
利用ida pro的flare功能识别静态链接函数签名
jmp esp
07-07 4477
前言在逆向分析的过程中,如果一个静态链接文件被去除了函数签名,那么整个文件将会变得极其难以识别,我们很难通过手动去识别各个库函数。好在ida pro提供了利用模式识别方式进行识别的功能,使得我们可以很快速的得到很多函数的签名。FLIRTIDA拥有一个FLIRT技术,全称Fast Library Identification and Recognition Technology,即快速库识别和检测技术
生成逆向调试符号的几款工具
xf555er的博客
08-23 1925
dumpbin.exe在VS的VC目录下,通过dumpbin命令来获取dll文件或者lib文件里面包含的函数利用flirt工具针对lib文件生成对应的sig文件,然后导入ida中可以自动识别出函数名,ida导入sig文件后生成对应的map文件可导入OD中识别函数名,实现“动静结合”的调试方式IDR用于生成逆向delphi语言的调试符号, 可以准确获取各种事件的位置, 也可以生成map配合OD进行分析。
社区驱动的IDA FLIRT签名文件集合-Python开发
05-25
快速库识别和识别技术(也称为FLIRT)是IDA的内部符号标识符,它通过反汇编的二进制文件进行搜索以查找FLIRT签名文件数据库。FLIRT是什么? 快速库识别和识别技术,也称为FLIRT,是IDA的内部符号标识符,它搜索反...
Flirt 开源的Flash播放器源码
10-20
本文将深入探讨Flirt的特性、工作原理以及如何利用其源码进行开发。 ### 1. Flirt项目概述 Flirt由比利时公司Tavendo GmbH开发,主要目标是为非Adobe Flash Player环境提供Flash内容的兼容性。由于Flash格式的封闭...
FLIRT红外热像仪.docx
02-27
"FLIRT红外热像仪"是一款专业级别的热成像设备,具备多项高级功能,适用于多种工业、科研和安全应用。该设备的核心特性在于其能够捕捉并显示清晰的红外图像,帮助用户检测和分析物体的温度分布。 在图像频率方面,...
FLIRT红外热像仪.pdf
02-27
FLIR T610是一款由美国菲力尔仪器公司制造的红外热像仪,产自瑞典,它代表了红外热像仪技术的新高度。这款设备的主要特点在于其高分辨率的红外图像和出色的热灵敏度,能提供307,200像素(640 × 480)的红外图像,...
funcap, 将一些有用的运行时信息添加到 static 分析中的IDA脚本.zip
09-18
funcap, 将一些有用的运行时信息添加到 static 分析中的IDA脚本 funcap为 static 分析添加一些有用的运行时信息的脚本。 概述。这里脚本使用 function calls (and returns) 调试器API和传递的所有参数在可执行文件中记录。 它将信息转储到一个文本文件中,并将它
Python库 | flair-0.4.5-py3-none-any.whl
03-30
资源分类:Python库 所属语言:Python 资源全名:flair-0.4.5-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python-社区驱动的IDAFLIRT签名文件的集合
08-12
社区驱动的IDA FLIRT签名文件的集合
Flirt_Me_Video_Call
03-09
在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何棉绒错误。 npm test 在交互式监视模式下启动测试运行器。 有关更多信息,请参见关于的部分。 ...
170516 逆向-IDAFLIRT技术和总结
whklhhhh的博客
05-16 2770
1625-5 王子昂 总结《2017年5月15日》 【连续第226天总结】 A. 加密与解密 IDA-FLIRT 100% B. IDA的另一项卓越的能力是库文件快速识别与鉴别技术(FLIRT)。它可以使IDA在一系列编译器的标准库文件里自动找出调用的函数。 一般的反汇编软件对于各种开发库显得无能为力,只能给出其反汇编结果,而不能给出库函数的名称。例如标准C函数strlen(),在反汇
使用IDA FLAIR生成SIG文件
好记性不如烂笔头
08-20 2412
背景介绍 IDA的SDK中提供的FLAIR SIG TOOLS,可以从静态库生成对应的PTN文件,再进一步生成SIG文件。这个文件也就是我们想要生成的,可以应用在IDA中,增加symbol的。(原理大致是根据函数汇编指令的signature特征和函数名的对应关系,然后,在应用SIG时,去匹配特征,并将匹配到的函数名修改。)因为函数的特征是根据函数的汇编指令生成的,所以,可能会存在冲突,当有冲突产...
利用FLRIT恢复符号表---笔记
Sciurdae的博客
12-25 1208
获得一个要创建签名文件的静态利用FLAIT为库创建一个模式文件使用sigmake处理生成的模式文件,生成一个签名文件将签名文件复制到sig中。
IDA FLAIR工具说明
学习备忘录
11-30 1万+
官方下载(需要用户名密码):http://www.hex-rays.com/products/ida/support/ida/flair61.zip   FLAIR——库文件快速识别与鉴定技术(Fast Library Acquisition for Identification and Recognition) =======================================
使用FLIRT签名识别库
xbgprogrammer的专栏
10-09 5484
 //转自http://blog.163.com/shanshenye2k@yeah/blog/static/8234054120121015102041843/ 第1章    使用FLIRT签名识别库 现在,我们开始讨论IDA的高级功能。同时,我们将探讨在“最初的自动分析已经完成”[1]之后,该执行什么操作。在本章中,为了识别标准的代码序列,我们将讨论各种技巧,如静态链接二进制文件中
用英文写一段有关于SLAM激光雷达建图的引言,其中需要简述cartographer、Gmapping和Graph FLIRT的基本原理
03-21
There are several popular SLAM algorithms available, including cartographer, Gmapping, and Graph FLIRT. Cartographer is a Google-developed SLAM system that uses a combination of LIDAR and IMU data ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值