使用IDA FLAIR生成SIG文件

本文介绍了如何使用IDA的FLAIR SIG TOOLS从静态库生成SIG文件,以增加IDA中的符号信息。首先,通过查询潜在的第三方库版本信息来推测所需静态库。接着,使用pcf或pelf生成PTN文件,然后利用sigmake工具生成SIG文件。在处理签名冲突时,需要编辑.exc文件并重新运行sigmake。虽然这种方法有限制,但能为无符号文件添加部分符号。
摘要由CSDN通过智能技术生成

背景介绍

IDA的SDK中提供的FLAIR SIG TOOLS,可以从静态库生成对应的PTN文件,再进一步生成SIG文件。这个文件也就是我们想要生成的,可以应用在IDA中,增加symbol的。(原理大致是根据函数汇编指令的signature特征和函数名的对应关系,然后,在应用SIG时,去匹配特征,并将匹配到的函数名修改。)因为函数的特征是根据函数的汇编指令生成的,所以,可能会存在冲突,当有冲突产生的时候,解决冲突就可以了。下面会给出具体的使用方法~

使用方法

查询潜在的第三方库的版本信息

一般可以根据Binary文件中的string所包含的信息,猜测使用的第三方库版本信息。听说可以根据函数签名确认,不过,需要依赖一个已知的数据库信息,暂时还没有玩过。

下载源码编译静态库

这一节就忽略了。。。

SIG文件

在FLAIR的SDK中有下面这些工具,其中,pcf和pelf功能是类似的,都是可以将静态库生成对应的PTN文件。差异是pcf针对Windows平台(COFF格式)

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值