IDA FLAIR工具说明

最新推荐文章于 2022-11-02 19:29:12 发布
最新推荐文章于 2022-11-02 19:29:12 发布
阅读量1w 收藏 5
点赞数
分类专栏: 反汇编 文章标签: 工具 pascal delphi exe library 磁盘

官方下载(需要用户名密码):http://www.hex-rays.com/products/ida/support/ida/flair61.zip

 

FLAIR——库文件快速识别与鉴定技术(Fast Library Acquisition for Identification and Recognition)

========================================================================

FLAIR工具允许您根据对象文件或库文件创建自己的签名文件,适用于IDA Pro v3.8或更高版本。

FLAIR包括以下的可执行文件:

Plb      parselib处理OMF库,并建立PAT文件
pcf      parsecoff处理COFF库,并建立PAT文件
pelf      parseelf处理ELF库,并建立PAT文件
ppsx     parsepsx处理PSX库,并建立PAT文件(索尼PlayStation)
ptmobj   parsetobj处理Trimedia库.... .... ....
pomf166  Keil的C166对象文件(旧格式)
sigmake  sigmake以PAT文件作为输入,创建SIG文件
zipsig    zipsig压缩和解压SIG文件
dumpsig  dumpsig以文本形式转储SIG文件的内容。

创建一个签名的典型方案是:
 - 运行分析器创建模式(PAT)文件
 - 运行sigmake获得EXC文件和冲突
 - 编辑EXC文件解决冲突
 - 再次运行sigmake获得SIG文件
 - 如果冲突仍然存在,重复上述2个步骤
 - 运行zipsig并获得压缩的SIG文件

 

一个简单的例子
================

假设我们有一个名为SAMPLE.LIB库文件,希望生成一个签名。如果SAMPLE.LIB是OMF库,下面是要做的工作。


只需两个命令:

        >PLB     SAMPLE.LIB     SAMPLE.PAT
        >SIGMAKE SAMPLE.PAT     SAMPLE.SIG

是的,就这样!

这两个命令后,我们得到一个签名文件,或者是一个冲突文件。如果我们得到一个签名文件——好极了,这就是我们想要的。否则,我们需要处理冲突。冲突文件会被命名为SAMPLE.EXC。如果我们不想研究冲突,那么最快的方法是删除冲突文件的开始处的注释,并再次运行sigmake。 sigmake第二次运行后,我们会得到一个签名文件。我们可以用zipsig来压缩签名文件,节省磁盘空间。


如果SAMPLE.LIB是一个AR/ COFF库,那么我们需要运行PCF而不是PLB。如果您不能确定您的库的格式,可以尝试运行这两个工具(PLB/ PCF)。如果输入库有格式错误,工具会清楚地提示出来。


当然这种方法解决冲突并不是最好的。如果你想得到真正的好的签名文件,你需要通过冲突文件和仔细的检查每个冲突,决定如何处理它。更多关于冲的突信息在SIGMAKE.TXT文件中。


如何使用创建的签名
================================

首先,复制你的签名文件到IDA的SIG子目录。如果你的签名不是针对IBM PC处理器的,那么创建一个特殊的目录放置您的签名。该子目录的名称应该是该处理器的名称。例如,所有c166处理器的签名文件应该放在SIG\C166目录。

启动IDA。
在IDA中,打开签名窗口,点击插入按钮。在列表中选择你的签名点击确认。IDA最终会将你的签名文件输入。


添加函数注释
============================

如果有需要,你可以给库函数添加注释。所有你需要做的是创建一个有函数注释的特殊文件。该文件是IDS格式的。所以,你要下载处理IDS文件的工具。只要把IDS文件放到IDA的IDS\FLIRT子目录,IDA会自动使用它。

 

启动签名
==================

如果你想让你签名自动套用,那么你需要创建一个启动签名。创建启动签名文件略有不同。您需要为所有编译器的所有模式文件,以创建启动签名文件。我已经把需要在启动目录中创建启动签名的所有文件。


为了使您的签名自动适用于您需要创建启动模式,然后将它们复制到启动目录和运行的startup.bat请注意启动模式的命名约定:EXE文件模式的EXE*. PAT的名称等。

 

Pascal和Delphi的支持
=========================

Nick Pisanov提供的一些工具,让我们可以从TPU文件创建签名。细节见PASCAL子目录。

 

杂项
====

关于ZIPSIG工具:此工具允许您将签名文件压缩。压缩后的签名文件占用较少的磁盘空间,但是IDA需要更多的时间来载入。此工具支持输入文件名通配符。

我已经把一些命令文件和EXC文件的例子放在EXAMPLE目录中了。

有关工具的信息,请阅读文件
        PLB.TXT
        PCF.TXT
        SIGMAKE.TXT

如有疑问:<support@hex-rays.com>

gyh198
关注
专栏目录
使用IDA FLAIR生成SIG文件
好记性不如烂笔头
08-20 2429
背景介绍 IDA的SDK中提供的FLAIR SIG TOOLS,可以从静态库生成对应的PTN文件,再进一步生成SIG文件。这个文件也就是我们想要生成的,可以应用在IDA中,增加symbol的。(原理大致是根据函数汇编指令的signature特征和函数名的对应关系,然后,在应用SIG时,去匹配特征,并将匹配到的函数名修改。)因为函数的特征是根据函数的汇编指令生成的,所以,可能会存在冲突,当有冲突产...
利用ida pro的flare功能识别静态链接函数签名
jmp esp
07-07 4488
前言在逆向分析的过程中,如果一个静态链接文件被去除了函数签名,那么整个文件将会变得极其难以识别,我们很难通过手动去识别各个库函数。好在ida pro提供了利用模式识别方式进行识别的功能,使得我们可以很快速的得到很多函数的签名。FLIRTIDA拥有一个FLIRT技术,全称Fast Library Identification and Recognition Technology,即快速库识别和检测技术
ida flare_emu模拟执行批量解密字符串(Orchard_Botnet)
jentle8的博客
11-02 544
使用模拟执行批量解密堆栈字符串 ida flare-emu
NLP工具——Flair
某热心知名群众的博客
05-07 1326
Flair 本文翻译自github高star项目Flair教程,传送门: https://github.com/flairNLP/flair Base types Two types of objects: Sentence and Token, Sentence holds a textual sentence and is a list of Token. from flair.data ...
IDA pro Flair 制作静态库文件签名
cwg2552298的博客
08-16 3263
        在逆向分析软件的时候,会遇到应用程序静态链接了某些开源的库,而IDA并不能对这些开源的 库函数进行识别,这时候就需要我们去制作对应库文件的 函数签名文件,帮助IDA识别静态链接的 库函数。       需要的工具以及文件:pcf.exe - 生成模式文件的工具; sigmake.exe - 生成sig文件的工具; 开源库的源代码,编译器。       注意:I.因为不同编...
flair70.zip
05-13
flair70 ida 函数签名工具 flair70 ida 函数签名工具flair70 ida 函数签名工具
ida sig.zip
05-13
包含了idaflair61工具以及lib2sig.bat和libs.bat,并说明了如何利用.a文件和.lib文件生成.sig文件,以及说明了如何使用.sig
[pwn&re]使用IDA flair恢复静态编译去符号的库函数名
Breeze的博客
12-31 1万+
使用IDA恢复去符号的库函数名 文章目录使用IDA恢复去符号的库函数名IDA flair自己制作签名文件自动检测脚本 在一些时候经常遇到静态编译并且去符号的题目,打开的画风就是这样的: 和这样的: 虽然说我们也可以根据参数的类型或者参数的数量手动分析出原函数的名字或功能,但无论如何也太麻烦了,再者有的时候还会有一些其他的干扰,那更会加大分析难度,这里提供一个简单的还原库函数名称的IDA功能:f...
ida的一些工具下载
a815064247的博客
04-08 1316
https://www.hex-rays.com/products/ida/support/download.shtml
ida 7.0 flair_在Windows 7中将一些Visual Flair添加到任务管理器显示中
09-20 174
ida 7.0 flairIf you love to customize your system as much as possible, then we have a fun way for you to change the color scheme for the Task Manager Window. Those Performance and Networking tabs will...
IDA7.0 vc签名文件
04-07
自己合并的IDA 7.0的签名文件,包含vc_14.28.29910 x86和x64,windows_kit_10.0.19041.0 x84和x64 的签名文件
IDASignMaker:IDA高级技巧 API符号自动识别库 IDASignMaker
05-30
IDASigMaker 该技术使IDA能够识别由受支持的编译器生成的标准库函数, 并大大提高了所生成的汇编的可用性和可读性。 原帖子 工具版本 sigmake.exe v1.4.5 dumpsig.exe v1.20 使用方法 以 D:\Program Files\Microsoft Visual Studio\VC98\Lib\LIBC.LIB 为例子 cmd下运行 lib2sig.bat 参数lib的名字 lib2sig.bat libc 自动创建对应lib名字的文件夹libc_objs,将LIBC.LIB拷入,按任意键继续执行。 中间有提示按回车的,按回车 生成 libc.sig,改名为vc6libc.sig(已经存在一个),拷贝到IDA的sig/pc下,有目录限制的。 在IDA shift+F5 --> 右键 Apply new signature...,搜索vc6lib,应
IDA_6.6_SDK
02-10
IDA Pro是目前最棒的一个静态反编译软件,是破解者不可缺少的利器!巨酷的反编译软件,破解高手们几乎都喜欢用这个软件。 本附件是IDA pro 6.6的SDK包。
Python库 | flair-0.4.5-py3-none-any.whl
03-30
资源分类:Python库 所属语言:Python 资源全名:flair-0.4.5-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
ida_sig.7z
09-07
包含了idaflair61工具以及lib2sig.bat和libs.bat,并说明了如何利用.a文件和.lib文件生成.sig文件,以及说明了如何使用.sig文件
IDA相关下载
weixin_34383618的博客
06-02 86
  IDA5.0 free  :http://115.com/file/an01mfqv Flair  6.3 :http://115.com/file/becuxy3l   更多:http://www.hex-rays.com/products/ida/support/download.shtml
利用ida对程序的静态链接库进行处理(转)
zhangmiaoping23的专栏
12-28 6861
转:http://seckungfu.com/blog/2012/07/14/li-yong-idadui-cheng-xu-de-jing-tai-lian-jie-ku-jin-xing-chu-li/ 利用ida对程序的静态链接库进行处理 用IDA进行反汇编时最怕遇到的就是跟踪到了程序静态链接的库函数中,看得一头雾水不说,还浪费了大量的时间。其实如果有符号表的话,看看函数名就知道
IDA 下载
热门推荐
taoli188的博客
06-06 1万+
IDA 下载 链接: IDA 反编译下载地址. https://www.hex-rays.com/products/ida/support/download.shtml
IDA反汇编工具使用说明
最新发布
06-09
IDA是一款反汇编工具,可以将机器码反汇编成汇编代码,方便对二进制文件进行分析和调试。以下是IDA的使用说明: 1. 打开IDA并导入二进制文件:在IDA界面中选择File->Open,选择需要反汇编的二进制文件,选择合适的架构和文件类型进行导入。 2. 分析二进制文件:导入文件后,IDA会自动对文件进行分析,生成汇编代码和函数列表等信息。可以通过左侧的窗口查看反汇编代码,右侧的窗口中查看函数列表和全局变量等信息。 3. 查看反汇编代码:在左侧的窗口中选择需要查看的函数或代码段,可以查看该部分的反汇编代码。可以通过右键菜单选择反汇编风格、字体大小等选项进行设置。 4. 修改反汇编代码:可以通过双击汇编代码进行修改,修改后可以选择保存或者撤销修改。需要注意的是,IDA只是反汇编工具,修改汇编代码并不能直接影响二进制文件。 5. 调试程序:可以通过IDA内置的调试器进行程序调试,选择Debugger->Process Options进行设置,然后选择Debugger->Run进行启动调试。 6. 插件扩展功能:IDA支持插件扩展功能,可以通过安装插件来增加IDA的功能。可以在IDA的官网上下载和安装插件。 以上是IDA的基本使用说明,希望能对您有所帮助。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值