IDA生成sig签名文件

最新推荐文章于 2021-03-01 14:17:29 发布
最新推荐文章于 2021-03-01 14:17:29 发布
阅读量2.1k 收藏 2
点赞数 1
分类专栏: c/c++逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35426012/article/details/103377577
版权

IDA介绍

IDA是一款强大的静态分析(程序不需要运行时直接查看汇编)工具,OD相反,OD是强大的动态追踪(程序运行时分析)工具

IDA签名的作用

因为有些版本的IDE在release版本下IDA识别不了库的函数名,如我在vc6.0下选择MT(多线程静态编译),release版本编译一个pritnf的程序
代码如下:

int main(int argc, char* argv[])
{
    printf("%d\r\n", argc / 8);
    return 0;
}

用IDA加载反汇编如下:
在这里插入图片描述
注意:这个时候可以自己提取库中对应的.obj来生成sig文件了,通过sig文件来识别库函数名,记住你的库中的实现也就是二进制一定要和你要识别的函数名是一样的,如上面的call sub_401020对应的是vc6.0的printf实现,你就必须要从vc6.0的lib中查找这个实现,这样你才能保证实现是一样的,这样的话生成的sig才能生成对应识别的函数名,因为sig文件也是通过函数实现的特征码去辨别的,所以要一样

IDA签名生成的步骤

那上面的举例
1需要两个工具,一个是pcf.exe来提取.obj的特征码,一个是sigmake.exe来生成.sig文件
2命令:lib /extract: xxxxx.obj lib文件名 提取你想要的.obj,可以通过命令:lib /list xxx.lib 来显示有哪些.obj
3使用pcf.exe(特征提取工具)生成.pat 命令:pcf xxxx.obj 默认生成xxx.pat文件
4使用sigmake生成.sig文件. 命令:sigmake xxxx.pat xxxx.sig 生成.sig文件
5把生成的.sig文件添加到IDA对应的sig—pc目录下,我用的是7.0,打开文件autoload.cfg添加一行.sig的文件名,如下图
在这里插入图片描述
6打开IDA 加载PE文件后 点击view-“Open subview”-Signatures(快捷键shift+F5)打开已应用的签名窗口
在这里插入图片描述
7右键点击“Apply new signature”,搜索刚添加的.sig文件,我的是printf.sig,点击OK
在这里插入图片描述
8成功命中函数后如下图,会显示函数命中几个,然后回到刚刚的代码查看就有了名称
在这里插入图片描述
在这里插入图片描述

你也可以写脚本或者写代码自动生成sig文件

code_greenhand
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
IDA sig文件的生成与使用
生命不息 折腾不止
08-05 2496
问题引入:Sig文件能使得IDA识别更多的符号,便于分析; 前面在《IDA 逆向技巧》中有提到sig文件的制作,自己写一个demo编译成为lib,再生成sig文件,具体步骤如下; 1、使用IDA打开lib,可以看出lib里面有多少个obj文件; 2、使用link.exe 将lib中的obj文件导出来(这个link.exe 来自于哪里?) 命令:link -lib /extract:test...
IDA7.0 vc签名文件
04-07
自己合并的IDA 7.0的签名文件,包含vc_14.28.29910 x86和x64,windows_kit_10.0.19041.0 x84和x64 的签名文件
批量制作IDA静态库签名文件的脚本
lixiangminghate的专栏
09-27 1199
网上有很多文章介绍制作静态库签名(sig)文件,供IDA加载使用。这些文中都提到一个批处理文件:lib2sig.bat,不得不说这是一个很强大的脚本----一次为一个lib文件生成sig文件。 但是,美中不足的地方是:如果需要为大量lib文件制作sig文件,还是有点麻烦,所以,我为此对这个脚本进行了修改,并另外写了一个脚本配合着调用它。 1.先看lib2sig.bat: md %1_objs...
IDA制作签名
子曰小玖的博客
03-01 1143
1. 目的 识别静态链接且被去除符号的库函数。 2. 原理 IDA会用签名匹配IDA数据库中的函数,如果匹配上会自动重命名函数 注意:只有使用 IDA 哑名的函数才能被自动重命名。换言之,如果你已经对一个函数进行了重命名,而后这个函数与一个签名相匹配,那么,这时 IDA 不会再对这个函数进行重命名。因此,在分析过程中,你应该尽可能早地应用签名 3. 制作方法 3.1 静态链接且被去除符号的可执行文件 为了展示IDA签名的效果,我用以下例子: ...
IDA中应用SIG文件
lixiangminghate的专栏
08-02 6096
SIG文件在IDA的作用中相当于符号文件。如果是自己写的PE文件,在编译过程中会产生OBJ文件,可以通过工具为它生成SIG文件。先把SIG文件拷贝到IDA目录的sig文件夹中,加载PE文件后依次点击view-"Open subview"-Signatures(快捷键shift+F5)打开已应用的签名窗口: 在"List of applied library modules"右键添加sig文件...
IDA中的SIG应用
weixin_34037173的博客
01-24 203
SIGIDA中相当于符号文件的作用,如果是自己写的PE程序,编译后会有OBJ文件,可以通过工具把它转化为一个SIG 便于在IDA观看。要应用SIG需要把SIG文件拷贝到IDA目录下的sig文件夹中,然后在IDA中shift+F5在右键添加相应添加相应的项目,反汇编中的函数名就会变为原本的函数名,这样方便查看。如果是第三方lib 也可以转换出一个sig 其中转换需要用到的工...
IDASIG文件
tooyoungtosimple的博客
07-26 458
静态链接库(Lib): 重命名为.7z, 记录了函数的符号信息. 使用dumpbin /exports XXX.lib > XXX.txt FLIRT签名识别库函数: 创建模式文件: PCF XXX.lib XXXX.bat 创建符号文件:SIGMAKE XXXX.bat XXXX.sig生成的XXXX.sig文件放到idasig文件夹下 OD动态调试时.可以先通...
IDA SIG 批量生成签名工具 c++ 不是bat
04-26
IDA SIG 批量生成签名工具 c++ 不是bat IDA SIG 批量生成签名工具 c++ 不是bat
ida_sig.7z
09-07
包含了ida的flair61工具以及lib2sig.bat和libs.bat,并说明了如何利用.a文件和.lib文件生成.sig文件,以及说明了如何使用.sig文件
SigMake_ida_SigMake_签名生成_
10-02
标题中的"SigMake_ida_SigMake_签名生成_"表明我们关注的是一个与IDA相关的工具,主要用于生成签名。IDA(Interactive Disassembler Pro)是一款强大的反汇编器和调试器,广泛用于逆向工程和软件分析。SigMake是IDA...
IDA sig文件使用教学录像
12-04
IDA sig文件使用教学录像IDA sig文件使用教学录像IDA sig文件使用教学录像
IDA_Signsrch:IDA签名
05-21
IDA签名 Luigi Auriemma的signrch签名匹配工具的IDA Pro插件转换。 1.4版,2015年5月,Sirmabus - - - [描述] - - - - - - - - - - - - - - - - - - - - - ----------------- Luigi最初的签名描述:“用于在文件内搜索签名的工具,对逆转工作非常有用,例如用于确定工作流程或对专有协议或文件使用哪种加密/压缩算法有初步了解。它可以识别大量的压缩,多媒体和加密算法以及许多其他功能,例如已知字符串和反调试代码,也可以手动添加,因为它们全部基于运行时读取的文本签名文件,并且易于修改。” 过去,我曾使用他的工具来帮助查找加密部分的各种内容,而没有找到其他内容。 例如,某些在线游戏客户端的登录部分。 要在IDA中使用该工具,我必须运行通过管道传
IDA 签名制作工具
02-17
自动化实现IDA签名的过程,能够人工交互地处理签名制作过程的冲突问题。
IDA-SIG_idapro_
09-30
Collectoin of IDA Pro sig file
sig文件制作
weixin_30876945的博客
08-02 259
一 配置环境变量 将link.exe,pcf.exe,sigmake.exe添加进PATH环境变量(选择“我的电脑” 》“属性”》“高级” 》“环境变量”》将文件地址添加进“path”) 二 从lib文件提取obj文件 如果运行link.exe出现 看这篇博客解决问题:https://www.cnblogs.com/Mayfly-nymph/p/11279569.h...
IDA6.1制作system函数的签名文件
谢绝留言与私信
08-30 1568
前言system在LIBC.LIB中, 但是将LIBC.LIB制作为sig文件后, 在IDA打开调用system函数的工程中加载LIBC.sig后, 并不能看到system函数被识别.IDA不认得LIBC.LIB中的system函数原因, 和工程中system函数的签名不一样. 可以比对pat文件, 看特征码是否和本工程中的system函数相同.需要自己做一个MASM静态库, 将system函数的
18.IDA-创建自己的sig
liujiayu2的专栏
08-23 768
工具 flirt68.zip pcf.exe/pcf: 生成一个模式文件.pat  sigmake.exe: 生成一个签名文件.sig 流程 创建PAT 生成pat文件,pat.txt文件说明各个模式的格式。 第一部分 列举了它所代表的函数的初始字节序列,最长为32个字节。一些字节因为重定位的入口而有所不同,这些字节将得到“补偿”,每个字节以
如何制作符号文件(.sig文件)
weixin_30492047的博客
02-23 859
在使用IDA时,由于缺少符号文件,有些库函数不能识别. C++源码: #include "stdafx.h" int main(int argc, char* argv[]) { printf("Hello World!\n"); return 0; } IDA反汇编: .text:00401000 ; int __cdecl main(i...
.sig文件制作
kernweak的博客
08-29 2516
找到xxx.lib,然后在IDA目录找到flair68.zip(我这里是ida6.8) 然后 第一步:使用pcf生成对应静态库的pat文件 pcf 文件名 生成的文件名.pat 第二步:使用sigmake,将pat文件转为sig文件 sigmake pat文件 生成sig文件.sig 将exc文件中的前4行删除 再次执行命令 sigmake pat文件 生成sig文件.s...
ida逆向安卓elf文件
最新发布
03-08
IDA是一款常用的逆向工程工具,可以用于分析和逆向各种二进制文件,包括安卓ELF文件。逆向安卓ELF文件可以帮助我们理解和修改应用程序的行为,进行漏洞分析和安全评估等工作。 在使用IDA逆向安卓ELF文件时,一般需要进行以下步骤: 1. 打开文件:在IDA中选择"File" -> "Open",然后选择要逆向的安卓ELF文件。 2. 分析代码:IDA会对二进制文件进行静态分析,生成反汇编代码和控制流图等信息。你可以浏览反汇编代码,查看函数、变量和数据结构等信息。 3. 导航代码:使用IDA的导航功能,可以跳转到特定的函数、变量或地址处,方便查看和修改代码。 4. 反编译代码:IDA还提供了反编译功能,可以将反汇编代码转换为高级语言代码(如C语言),使得代码更易读和理解。 5. 动态调试:如果需要动态调试安卓应用程序,可以使用IDA提供的调试功能。通过IDA与调试器的集成,可以在逆向过程中进行断点调试、内存查看和变量跟踪等操作。 6. 插件扩展:IDA支持插件扩展,你可以根据需要安装和使用各种插件,以增强逆向分析的功能和效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值