库函数识别
胖胖鹏鹏胖胖鹏
专心
展开
-
Diaphora源码分析——二进制文件对比工具
本博客由闲散白帽子胖胖鹏鹏胖胖鹏潜力所写,仅仅作为个人技术交流分享,不得用做商业用途。转载请注明出处,未经许可禁止将本博客内所有内容转载、商用。 0x00 Diaphora介绍 Diaphora(διαφορά, 希腊语中的“different”)是一个IDA插件,用来帮助二进制文件对比。他和其他的比较工具很类似,有一个著名的开源工具就叫做Zynamics BinDiff。还有其他的开源...原创 2018-06-29 19:59:55 · 7533 阅读 · 0 评论 -
Diaphora源码分析——diaphora.py分析
本博客由闲散白帽子胖胖鹏鹏胖胖鹏潜力所写,仅仅作为个人技术交流分享,不得用做商业用途。转载请注明出处,未经许可禁止将本博客内所有内容转载、商用。 在使用Diaphora进行库函数比对的时候,我们会先用Diaphora生成原始函数库(*.a,*.lib)生成一个sqlite特征数据库数据库(db1),再用Diaphora生成程序(*.so,*.exe,*.bin)的特征数据库(db2),...原创 2018-07-09 18:38:21 · 1238 阅读 · 0 评论 -
Diaphora源码分析——jkutils分析
本博客由闲散白帽子胖胖鹏鹏胖胖鹏潜力所写,仅仅作为个人技术交流分享,不得用做商业用途。转载请注明出处,未经许可禁止将本博客内所有内容转载、商用。 在前面的博客中,我们简单介绍了Diaphora的文件结构和FLIRT算法的思想。同样作为库函数识别算法,FLIRT采用了pattern mactch的方法,而Diaphora则使用AST模糊哈希以及调用流模糊哈希的方法。在调研的过程中,我们发...原创 2018-07-03 16:44:29 · 710 阅读 · 0 评论 -
Diaphora源码阅读——如何生成库函数数据库
本博客由闲散白帽子胖胖鹏鹏胖胖鹏潜力所写,仅仅作为个人技术交流分享,不得用做商业用途。转载请注明出处,未经许可禁止将本博客内所有内容转载、商用。 上周我们针对Diaphora的库函数对比规则进行了分析,我们主要使用了两个数据库进行对比。那么我们这次来看下,这些数据库是如何生成的。代码位置在diphora_ida.py中,代码中夹杂着大量的GUI函数以及IDA api,我们略过GUI处理的过程,对I...原创 2018-07-16 15:40:39 · 1038 阅读 · 2 评论