使用IDA FLAIR生成SIG文件

最新推荐文章于 2022-03-28 16:54:27 发布
最新推荐文章于 2022-03-28 16:54:27 发布
阅读量2.4k 收藏 1
点赞数
文章标签: IDA SIG 符号 逆向分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dupei/article/details/99835255
版权
本文介绍了如何使用IDA的FLAIR SIG TOOLS从静态库生成SIG文件,以增加IDA中的符号信息。首先,通过查询潜在的第三方库版本信息来推测所需静态库。接着,使用pcf或pelf生成PTN文件,然后利用sigmake工具生成SIG文件。在处理签名冲突时,需要编辑.exc文件并重新运行sigmake。虽然这种方法有限制,但能为无符号文件添加部分符号。
摘要由CSDN通过智能技术生成

背景介绍

IDA的SDK中提供的FLAIR SIG TOOLS,可以从静态库生成对应的PTN文件,再进一步生成SIG文件。这个文件也就是我们想要生成的,可以应用在IDA中,增加symbol的。(原理大致是根据函数汇编指令的signature特征和函数名的对应关系,然后,在应用SIG时,去匹配特征,并将匹配到的函数名修改。)因为函数的特征是根据函数的汇编指令生成的,所以,可能会存在冲突,当有冲突产生的时候,解决冲突就可以了。下面会给出具体的使用方法~

使用方法

查询潜在的第三方库的版本信息

一般可以根据Binary文件中的string所包含的信息,猜测使用的第三方库版本信息。听说可以根据函数签名确认,不过,需要依赖一个已知的数据库信息,暂时还没有玩过。

下载源码编译静态库

这一节就忽略了。。。

SIG文件

在FLAIR的SDK中有下面这些工具,其中,pcf和pelf功能是类似的,都是可以将静态库生成对应的PTN文件。差异是pcf针对Windows平台(COFF格式)

最低0.47元/天 解锁文章
dupei
关注
IDA sig文件生成使用
生命不息 折腾不止
08-05 2536
问题引入:Sig文件能使得IDA识别更多的符号,便于分析; 前面在《IDA 逆向技巧》中有提到sig文件的制作,自己写一个demo编译成为lib,再生成sig文件,具体步骤如下; 1、使用IDA打开lib,可以看出lib里面有多少个obj文件; 2、使用link.exe 将lib中的obj文件导出来(这个link.exe 来自于哪里?) 命令:link -lib /extract:test...
IDA生成sig签名文件
qq_35426012的博客
12-03 2164
IDA介绍 IDA是一款强大的静态分析(程序不需要运行时直接查看汇编)工具,OD相反,OD是强大的动态追踪(程序运行时分析)工具 IDA签名的作用 因为有些版本的IDE在release版本下IDA识别不了库的函数名,如我在vc6.0下选择MT(多线程静态编译),release版本编译一个pritnf的程序 代码如下: int main(int argc, char* argv[]) { p...
18.IDA-创建自己的sig
liujiayu2的专栏
08-23 770
工具 flirt68.zip pcf.exe/pcf: 生成一个模式文件.pat  sigmake.exe: 生成一个签名文件.sig 流程 创建PAT 生成pat文件,pat.txt文件说明各个模式的格式。 第一部分 列举了它所代表的函数的初始字节序列,最长为32个字节。一些字节因为重定位的入口而有所不同,这些字节将得到“补偿”,每个字节以
sig文件制作
weixin_30876945的博客
08-02 263
一 配置环境变量 将link.exe,pcf.exe,sigmake.exe添加进PATH环境变量(选择“我的电脑” 》“属性”》“高级” 》“环境变量”》将文件地址添加进“path”) 二 从lib文件提取obj文件 如果运行link.exe出现 看这篇博客解决问题:https://www.cnblogs.com/Mayfly-nymph/p/11279569.h...
IDA中应用SIG文件
lixiangminghate的专栏
08-02 6157
SIG文件IDA的作用中相当于符号文件。如果是自己写的PE文件,在编译过程中会产生OBJ文件,可以通过工具为它生成SIG文件。先把SIG文件拷贝到IDA目录的sig文件夹中,加载PE文件后依次点击view-"Open subview"-Signatures(快捷键shift+F5)打开已应用的签名窗口: 在"List of applied library modules"右键添加sig文件...
uclibc-sig:用于多体系结构uClibc库的IDA SIG文件
05-12
签名使用uClibc 0.9.30.1上的IDA Flair 7.1生成的。 正如所解释的那样,uClibc 0.9.30.1发行了一系列针对不同CPU体系结构(例如x86,MIPS,ARM ...)的预编译构建环境。 为了简化起见,这一事实促使Linux IoT...
ida_sig.7z
09-07
包含了idaflair61工具以及lib2sig.bat和libs.bat,并说明了如何利用.a文件和.lib文件生成.sig文件,以及说明了如何使用.sig文件
IDA 签名制作工具
02-17
自动化实现IDA签名的过程,能够人工交互地处理签名制作过程的冲突问题。
1 C++反汇编 IDA sig的作用和生成方法
小邪
02-05 428
用到工具: ida7.5 : 链接:https://pan.baidu.com/s/104yOAxQ_LqqHC3275xjj4Q 提取码:1234 sig生成工具:链接:https://pan.baidu.com/s/1NgRVR3eQRBdYyIImWeI8Jw 提取码:1234 ida不仅可以把lib里面的函数识别出来 也可以通过exe的obj来识别自定义的函数名 ida 通过快捷键shift+F5 可以打开sig文件目录清单 可以通过lib生成OBJ文件 然后通过OBJ文件生成PAT文
.sig文件制作
kernweak的博客
08-29 2530
找到xxx.lib,然后在IDA目录找到flair68.zip(我这里是ida6.8) 然后 第一步:使用pcf生成对应静态库的pat文件 pcf 文件生成文件名.pat 第二步:使用sigmake,将pat文件转为sig文件 sigmake pat文件 生成sig文件.sig 将exc文件中的前4行删除 再次执行命令 sigmake pat文件 生成sig文件.s...
IDA FLAIR工具说明
热门推荐
学习备忘录
11-30 1万+
官方下载(需要用户名密码):http://www.hex-rays.com/products/ida/support/ida/flair61.zip   FLAIR——库文件快速识别与鉴定技术(Fast Library Acquisition for Identification and Recognition) =======================================
制作sig文件
RedLobster的博客
02-23 2422
本文为在学习过程中的笔记,写的不好请见谅. 在使用IDA的过程中,由于缺少符号文件,有些库函数不能识别. 例 #include "stdafx.h" int main(int argc, char* argv[]) { printf("Hello World!\n"); return 0; } .text:00401000 _main proc
如何制作符号文件(.sig文件)
weixin_30492047的博客
02-23 881
使用IDA时,由于缺少符号文件,有些库函数不能识别. C++源码: #include "stdafx.h" int main(int argc, char* argv[]) { printf("Hello World!\n"); return 0; } IDA反汇编: .text:00401000 ; int __cdecl main(i...
怎样使用.sig文件生成/验证数字签名?
cnhome的专栏
08-28 6906
生成.sig文件(分离式数字签名):gpg -u user@somesite.com -b abc.tar.gz验证.sig文件的正确性.1.生成自己的keygpg --gen-key2.导入文件的public keygpg --import newkey.txtgpg --list-keys查看emailgpg --edit-key importuse
linux .sig文件,使用.sig签名验证文件
weixin_35112917的博客
05-02 1073
Linux下载文件的时候,由于网络等原因,下载的文件可能不完整,对于别有心机的人可以更改文件,这就需要我们对文件的完整性进行验证。这里以securityonion-14.04.5.2.iso为例进行验证。首先下载securityonion-14.04.5.2.iso和securityonion-14.04.5.2.iso.sig文件gpg软件,Linux系统默认是安装的,如果没有请自行解决然后进行...
.sig 签名文件怎么使用
哈哈虎的博客
03-28 6042
网上下载时经常看到会同时出现一个 .sig 签名文件,或者 gpg 公钥,只知道他是用来验证下载包(.deb,.rpm…)的完整性的,不怎么注意,今天尝试了解他到底怎么用的时候,还费了一些周折! 正好准备学习ClamAV ,就以 https://www.clamav.net/downloads 为例 我这里是 ubuntu 20.04 ,自然是下载 .deb ,同时也下载了那个 .deb.sig $ ls clamav-0.104.2.linux.x86_64.deb clamav-0.104.2.li
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值