18.IDA-创建自己的sig

最新推荐文章于 2024-06-21 15:24:29 发布
最新推荐文章于 2024-06-21 15:24:29 发布
阅读量6k 收藏
点赞数 3
分类专栏: IDA 文章标签: IDA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hgy413/article/details/50612296
版权

工具

flirt68.zip

pcf.exe/pcf: 生成一个模式文件.pat
sigmake.exe: 生成一个签名文件.sig

流程

创建PAT

这里写图片描述

生成pat文件,pat.txt文件说明各个模式的格式。

第一部分

列举了它所代表的函数的初始字节序列,最长为32个字节。一些字节因为重定位的入口而有所不同,这些字节将得到“补偿”,每个字节以两点显示。。如果一个函数短于32个字节(例如前面代码中的_ffs函数),用点将模式填充到64个字符。

每个字节需要两个字符。要显示32个字节的内容,需要64个十六进制字符。

这里写图片描述
可以看到,OnFinalRelease函数的初始字节序为

85C974098B018B50046A01FFD2C3..........................

可以使用windbg查看下函数:

0:000> db 3e1010
003e1010 85 c9 74 09 8b 01 8b 50-04 6a 01 ff d2 c3 cc cc

其他部分

CRC16值、函数的字节长度以及函数引用的符号名称列表
这里写图片描述

创建sig

这里写图片描述
只要有两个函数的模式相同,就会发生冲突。如果不能解决冲突,在应用签名的过程中,我们就无法确定函数到底与哪一个签名相匹配。
只要存在冲存,sigmake生成的就不是.sig文件,而是一个排斥文件(.exc),.exc文件是文本文件,它详细说明了sigmake在处理模式文件时遇到的冲突
排斥文件是文本文件,它详细说明了sigmake在处理模式文件时遇到的冲突
每次运行sigmake失败都会产生以下注释,如再次失败,注释会附加在原来.ecx的最后
;--------- (delete these lines to allow sigmake to read this file)
; add '+' at the start of a line to select a module
; add '-' if you are not sure about the selection
; do nothing if you want to exclude all modules

随便找一个冲突点(可以看到它们的初始字节序列完全相同
+?GetDrawState@DUICheckBox@DM@@QAEHXZ 14 3ACE 33C03981A000000074298B4920F6C1107407B803000000EB12F6C1027407B802
?GetDrawState@DUIRadioButton@DM@@QAEHXZ 14 3ACE 33C03981A000000074298B4920F6C1107407B803000000EB12F6C1027407B802

1. 删除上面4行以分号开头的注释
2.sigmake让你仅指定一个函数作为相关签名的匹配函数。任何时候,如果在数据库中发现一个对应的签名,并且你想应用一个函数的名称,那么,你可以在该函数名称前附加一个加号;如果你只想在数据库中添加某个函数的注释,则在该函数名称前附加一个减号;如果在数据库中发现对应的签名时,你不想应用任何名称,那么,你不需要添加任何符号。(+号只能有一个,-号和+号二者只能存一)
比如上面DUICheckBox使用了+号(注意比较初始字节序号):
这里写图片描述

加载sig

成功生成签名文件后,你需要将它复制到你的/sig目录中,以便IDA使用这个文件。随后,你可以通过File▶Load File▶FLIRT Signature File访问这个新签名。
这里写图片描述

(1)为最大限度地减少冲突,请删除排斥文件开头的4个注释行。
(2)最多只能给冲突函数组中的一个函数附加+/-。
(3)如果一个冲突函数组仅包含一个函数,不要在该函数前附加+/-,让它保持原状即可。
(4)sigmake连续运行失败会将数据(包括注释行)附加到现有的任何.exc文件后。在再次运行sigmake之前,你必须删除这些额外的数据,并更正原始数据(如果这些数据是正确的,sigmake将不会再次运行失败)。

特别注意第四点,如果再次失败,.exc文件最后面会自动附加上面的注释行和失败地方,注意删除

IDB_2_PAT生成pat

可以在另一个IDA数据库生成pat,用于这个IDA数据库
如果只有dll,则反汇编该dll,然后用IDB_2_PAT插件生成.PAT文件然后sigmake生成.sig
http://www.openrce.org/downloads/details/26/IDB_2_PAT

花熊
关注
专栏目录
使用IDA FLAIR生成SIG文件
好记性不如烂笔头
08-20 2423
背景介绍 IDA的SDK中提供的FLAIR SIG TOOLS,可以从静态库生成对应的PTN文件,再进一步生成SIG文件。这个文件也就是我们想要生成的,可以应用在IDA中,增加symbol的。(原理大致是根据函数汇编指令的signature特征和函数名的对应关系,然后,在应用SIG时,去匹配特征,并将匹配到的函数名修改。)因为函数的特征是根据函数的汇编指令生成的,所以,可能会存在冲突,当有冲突产...
ida pro恢复去符号程序的符号
NoOneGroup
01-08 3314
ida pro恢复去符号程序的符号 新博客链接 序言 第一部分说的都是废话吧,对我来说,建议用后面部分的 恢复方法 lscanf 首先获得sig,我这里用的是lscanf里的sig 下载地址 先扫描下 python lscan.py -f stripped -S amd64/sig/ amd64/sig/libc-2.13.sig 12266/3369 (364.08%) amd64/sig/li...
修改IDA函数签名
最新发布
ma_de_hao_mei_le的博客
06-21 187
有时候IDA自己F5出来的函数签名依托答辩,参数数量都对不上。使用上面这种形式修改返回值和参数。
IDA SIG文件制作 批处理方法
wujian_changhai的博客
05-10 1353
IDA SIG文件制作 批处理方法
IDA6.1制作system函数的签名文件
谢绝(无视)留言与私信
08-30 1575
前言system在LIBC.LIB中, 但是将LIBC.LIB制作为sig文件后, 在IDA打开调用system函数的工程中加载LIBC.sig后, 并不能看到system函数被识别.IDA不认得LIBC.LIB中的system函数原因, 和工程中system函数的签名不一样. 可以比对pat文件, 看特征码是否和本工程中的system函数相同.需要自己做一个MASM静态库, 将system函数的
批量生成idapro的Sig文件
如鹿渴慕泉水的专栏
11-22 792
md %1_sig cd %1_sig for /F %%i in('link -lib /list %1.lib') do link -lib /extract:%%i %1.lib for %%i in(*.obj) do pcf -g0 %%i sigmake-n"MyLIBC" *.pat MyLIBC.Sig del *.obj cd..
Android逆向之旅---动态方式破解apk进阶篇(IDA调试so源码)
尼古拉斯.赵四的博客
04-18 2421
一、前言 今天我们继续来看破解apk的相关知识,在前一篇:Eclipse动态调试smali源码破解apk我们今天主要来看如何使用IDA来调试Android中的native源码,因为现在一些app,为了安全或者效率问题,会把一些重要的功能放到native层,那么这样一来,我们前篇说到的Eclipse调试smali源码就显得很无力了,因为核心的都在native层,Android中一般native层...
IDA 签名制作工具
02-17
"IDA签名制作工具"就是针对这一需求开发的自动化辅助程序,它简化了手动创建和管理IDA签名的过程。 IDA签名通常由专业的逆向工程师创建,包含了对特定库或二进制格式的理解,这些理解可以是函数的参数类型、返回值...
IDA——动态调试Linux上的ELF文件(整合他人博客)
mmmsss987的博客
04-22 5540
先查看机器之间是否可以ping通 0x00:环境 待调试ELF文件 IDA 7.0 主机:Windows 虚拟机:Linux 达成效果:在Window上利用IDA远程动态调试linux里的ELF文件 0x01:Unbuntu里运行IDA的服务器组件 IDA附带以下组件: linux_server:在Linux计算机上执行的、用于调试32位Linux应用程序的服务器组件。 li...
IDASignMaker:IDA高级技巧 API符号自动识别库 IDASignMaker
05-30
IDASigMaker 该技术使IDA能够识别由受支持的编译器生成的标准库函数, 并大大提高了所生成的汇编的可用性和可读性。 原帖子 工具版本 sigmake.exe v1.4.5 dumpsig.exe v1.20 使用方法 以 D:\Program Files\Microsoft Visual Studio\VC98\Lib\LIBC.LIB 为例子 cmd下运行 lib2sig.bat 参数lib的名字 lib2sig.bat libc 自动创建对应lib名字的文件夹libc_objs,将LIBC.LIB拷入,按任意键继续执行。 中间有提示按回车的,按回车 生成 libc.sig,改名为vc6libc.sig(已经存在一个),拷贝到IDAsig/pc下,有目录限制的。 在IDA shift+F5 --> 右键 Apply new signature...,搜索vc6lib,应
ida_sig.7z
09-07
包含了ida的flair61工具以及lib2sig.bat和libs.bat,并说明了如何利用.a文件和.lib文件生成.sig文件,以及说明了如何使用.sig文件
ida sig.zip
05-13
包含了ida的flair61工具以及lib2sig.bat和libs.bat,并说明了如何利用.a文件和.lib文件生成.sig文件,以及说明了如何使用.sig
arm ida 伪代码 安卓 符号表_IDA 制作 sig文件 && gdb 导入符号表
weixin_42193786的博客
01-14 747
背景最近比赛遇到了一个题目, 32位静态链接去符号了. 所以用IDA分析的时候很多libc的库函数都无法识别, 就需要在 IDA 中引入 sig 文件. 从而可以识别诸如 read, write, malloc, free 这些库函数. 虽然网上已经有很多制作好的sig文件, 但是还是应该学会自己制作sig文件以备不时之需.有了 sig 文件后静态分析是没问题了, 但是动态调试的时候因为没有符号...
【逆向工具】IDA使用6-签名文件制作
weixin_30512043的博客
08-04 249
0x1 签名文件制作的方法: 找到静态编译的程序库 使用IDA中的fair工具包,对静态库操作,生成特征库(IDA6.8 是flair68.zip) 0x2 步骤 第一步:使用pcf生成对应静态库的pat文件 第二步:使用sigmake,将pat文件转为sig文件 第三步:将sig文件放入IDA文件目录下的sig文件夹 Vs2013静态库目录:C:\Program Files (x8...
ELF64文件逆向分析知识—[2]制作静态库SIG
杏林小轩
12-04 2863
背景在搭建IDA调试远程Linux的环境过程中,我在Linux上使用file工具查看ELF文件得到了一下信息: 这个可执行文件是使用的是静态编译,同时在最终生成可执行文件时,删除了符号表和重定位信息。所以在IDA中看到的汇编代码如下:函数调用都显示的是IDA生成的“哑”名(eg,sub_414410),这对分析函数功能时造成了很大障碍,因为花了很大精力分析了某一个函数调用的功能后,发现这是一个静态
IDA中应用SIG文件
lixiangminghate的专栏
08-02 6159
SIG文件IDA的作用中相当于符号文件。如果是自己写的PE文件,在编译过程中会产生OBJ文件,可以通过工具为它生成SIG文件。先把SIG文件拷贝到IDA目录的sig文件夹中,加载PE文件后依次点击view-"Open subview"-Signatures(快捷键shift+F5)打开已应用的签名窗口: 在"List of applied library modules"右键添加sig文件...
逆向——IDA制作符号文件
cszrydn的专栏
05-26 775
1、环境变量添加:pcf.exe、sigmake.exe和link.exe的路径 pcf和sigmake如果没有从ida安装目录找到,需要下载。可以从这里下载 链接:https://pan.baidu.com/s/1omfjlTW7uKoX_Ze50O7uhg 提取码:4ky8 下载的文件也包含link.exe 将文件目录添加到环境变量 2、批处理文件:lib2sig.bat md %1_objs copy %1.lib %1_objs\%1.lib cd %1_objs for
IDA制作签名
子曰小玖的博客
03-01 1172
1. 目的 识别静态链接且被去除符号的库函数。 2. 原理 IDA会用签名匹配IDA数据库中的函数,如果匹配上会自动重命名函数 注意:只有使用 IDA 哑名的函数才能被自动重命名。换言之,如果你已经对一个函数进行了重命名,而后这个函数与一个签名相匹配,那么,这时 IDA 不会再对这个函数进行重命名。因此,在分析过程中,你应该尽可能早地应用签名 3. 制作方法 3.1 静态链接且被去除符号的可执行文件 为了展示IDA签名的效果,我用以下例子: ...
IDA.【转】5.IDA-文本搜索、二进制搜索(16进制字节序列)、替换16进制
05-17
IDA是一款非常强大的反汇编工具,它不仅可以将二进制文件反汇编成汇编代码,还可以对汇编代码进行分析和调试。在IDA中,我们可以进行文本搜索、二进制搜索和替换16进制字节序列等操作。 1. 文本搜索 在IDA中,我们可以使用快捷键Ctrl+F或者点击菜单“Edit”->“Find”来进行文本搜索。在搜索框中输入要查找的文本,点击“Find”按钮即可。如果要查找下一个匹配项,可以使用快捷键F3或者点击菜单“Edit”->“Find Next”。 2. 二进制搜索 在IDA中,我们也可以进行二进制搜索。首先,我们需要打开“Hex View-A”窗口,该窗口可以显示二进制文件的16进制表示。在该窗口中,我们可以使用快捷键Ctrl+F或者点击菜单“Search”->“Find Bytes”来进行二进制搜索。在搜索框中输入要查找的16进制字节序列,点击“OK”按钮即可。如果要查找下一个匹配项,可以使用快捷键F3或者点击菜单“Search”->“Find Next”. 3. 替换16进制字节序列 在IDA中,我们也可以替换16进制字节序列。首先,我们需要打开“Hex View-A”窗口。在该窗口中,我们可以使用快捷键Ctrl+R或者点击菜单“Search”->“Replace Bytes”来进行替换操作。在弹出的对话框中,输入要查找的16进制字节序列和要替换的16进制字节序列,然后点击“OK”按钮即可。如果要替换所有匹配项,可以点击“Replace All”按钮。 以上就是IDA中文本搜索、二进制搜索和替换16进制字节序列的操作方法。在实际使用中,这些操作非常实用,可以帮助我们更快地定位和解决问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值