逆向——IDA制作符号文件

最新推荐文章于 2025-06-08 06:50:43 发布
最新推荐文章于 2025-06-08 06:50:43 发布
阅读量954 收藏 2
点赞数 1
CC 4.0 BY-SA版权
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cszrydn/article/details/117297216
本文介绍如何配置环境变量以查找和使用pcf.exe, sigmake.exe和link.exe,重点讲解了lib2sig.bat批处理文件的使用方法,用于将lib文件转换为sig文件并进行签名。步骤包括添加路径、创建临时目录、执行命令及清理过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、环境变量添加:pcf.exe、sigmake.exe和link.exe的路径

pcf和sigmake如果没有从ida安装目录找到,需要下载。可以从这里下载

链接:https://pan.baidu.com/s/1omfjlTW7uKoX_Ze50O7uhg

提取码:4ky8

下载的文件也包含link.exe

将文件目录添加到环境变量

2、批处理文件:lib2sig.bat

md %1_objs

copy %1.lib %1_objs\%1.lib

cd %1_objs

for /f %%i in ('link -lib /list %1.lib') do link -lib /extract:%%i %1.lib

for %%i in (*.obj) do pcf %%i

sigmake -n"%1.lib" *.pat %1.sig

pause

if exist %1.exc for %%i in (%1.exc) do find /v ";" %%i > abc.exc

if exist %1.exc for %%i in (%1.exc) do > abc.exc more +2 "%%i"

copy abc.exc %1.exc

del abc.exc

sigmake -n"%1.lib" *.pat %1.sig

copy %1.sig ..\%1.sig

pause

cd ..

del %1_objs /s /q

rd %1_objs

 

3、把批处理文件放到环境变量,或者放到pcf.exe或link.exe同目录,后者放到要制作的lib静态库的同目录。在lib目录打开cmd窗口,执行命令:

lib2sig [lib文件名] [sig文件名]

逆向 - 恢复符号
Coder
01-04 3108
获取符号表偏移前的地址 当App准备上线打生产环境的包时,编译器去掉符号表信息;所以在iOS逆向调试的时候,lldb调试中查看代码的函数调用栈时符号偏移前的地址 = 符号偏移后的地址(lldb断点地址) - ASLR偏移地址,其中 ASLR偏移地址是App启动后系统分配的内存区域的的首地址,在lldb中通过image list -o -f来获取某一进程的ASLR地址。如下图获取QQ的ASLR地址...
iOS逆向学习四:符号表还原
sharon
09-15 1590
本文的部分理论支持,节选自这里:iOS符号表恢复。 前言 符号表历来是逆向工程中的“必争之地”,而iOS应用在上线前要裁去符号表,以避免被逆向分析。 这些可以通过配置xcode的编译选项来达到效果。具体操作请看这:Xcode中和symbols有关的几个设置。 Xcode显示调用堆栈中符号时,只会显示符号表中有的符号。为了我们调试过程的顺利,我们有必要把可执行文件中的符号表恢复回来。 先来看一眼无符...
逆向知识第一讲,IDA的熟悉使用
weixin_30879833的博客
10-24 432
            逆向知识第一讲,IDA的熟悉使用 一丶熟悉IDA,以及手工制作sig文件. IDA,静态分析工具,网上随便找一个即可下载. 首先,我们写一个可执行EXE,最简单的 使用IDA打开. 1.提示使用什么格式打开 因为是PE格式,所以我们选择PE即可.点击OK 2.重新打开一下 如果以前已经打开过这个PE,那么重新打开,则会显示这三个按钮,...
X86C++反汇编01.IDA和提取签名
最新发布
weixin_29663061的博客
06-08 28
IDA可以识别函数名以及参数等信息,IDA是用过SIG文件识别已知函数信息。在安装IDA的时候,已经将常用的库制作为SIG文件,放置在安装目录的SIG文件夹下。函数签名:SIG文件也成为签名文件作用:利用此功能可识别第三方提供的库函数,从而简化分析流程以低版本C库函数为例。
ida符号文件路径设置
haodawei123的博客
02-10 5219
ida进行内核调试时,需要设置一下ida符号文件路径 通过修改pdb.cfg文件的PDBSYM_SYMPATH这个来实现,修改之后打开idaida会先加载符号路径
x64dbg和IDA pro 配置PDB 符号文件symbols
大哥一声吼
02-24 7435
PDB(Program Debugging Database)就是在生成EXE 和 DLL 文件的过程中生成的这个文件,可以帮助进行调试。为什么x64dbg 没有将PDB 文件集成到软件中呢?主要是PDB 文件太大了,在分发安装包的时候会很大,也不方便x64dbg 版本的更新等。
ida手动加载指定模块的符号
lougd的专栏
07-18 8069
ida手动加载指定模块的符号
iOS Swift逆向——代码和IDA反编译对照
uiop_uiop_uiop的博客
10-18 982
把Swift代码里面的66改成一个毫秒时间戳:1729167411374, hex: 0x1929a68c8ae。导入Swift的头文件,导入插件,swift.py。再次按F5和这个插件的快捷键Ctrl+5。编译选项是模拟器,iPhone15Pro,Release。66的hex就是0x42。
Go二进制文件逆向分析从基础到进阶——MetaInfo、函数符号和源码文件路径列表 .pdf
09-05
《Go二进制文件逆向分析从基础到进阶——MetaInfo、函数符号和源码文件路径列表》 在安全领域,尤其是渗透测试、金融安全和法律法规相关的安全开发中,理解Go二进制文件的内部构造是至关重要的。本文将深入探讨Go二...
IDA.rar_IDA的_ida_汇编_逆向_閫嗗悜
09-19
**IDA——强大的逆向工程工具** IDA(Interactive Disassembler Pro)是一款广泛应用于逆向工程领域的专业软件,它能够帮助用户分析二进制代码,理解程序的内部运作机制,尤其适用于汇编语言的反汇编和调试。在...
[原]排错实战——拯救加载调试符号失败的IDA
12-06 268
本文之前发表的时候有些问题,作为强迫症患者的我又重新编辑后再次发表。如果您已经看过,请忽略。望见谅。缘起 最近想借助IDA逆向一个函数。在windows下,调试器(比如vs, windb...
iOS符号表恢复&逆向支付宝
02-25
本文介绍了恢复符号表的技巧,并且利用该技巧实现了在Xcode中对目标程序下符号断点调试,该技巧可以显著地减少逆向分析时间。在文章的最后,作者以支付宝为例,展示出通过在UIAlertView的show方法处下断点,从而获得支付宝的调用栈的过程。本文涉及的代码也开源在:https://github.com/tobefuturer/restore-symbol,欢迎Star和提Issue。感谢作者授权发表。作者介绍:杨君,中山大学计算机系研究生,iOS开发者,擅长领域iOS安全和逆向工程,个人博客:http://blog.imjun.net。符号表历来是逆向工程中的“必争之地”,而iOS应用在上线前
IDASignMaker:IDA高级技巧 API符号自动识别库 IDASignMaker
05-30
IDASigMaker 该技术使IDA能够识别由受支持的编译器生成的标准库函数, 并大大提高了所生成的汇编的可用性和可读性。 原帖子 工具版本 sigmake.exe v1.4.5 dumpsig.exe v1.20 使用方法 以 D:\Program Files\Microsoft Visual Studio\VC98\Lib\LIBC.LIB 为例子 cmd下运行 lib2sig.bat 参数lib的名字 lib2sig.bat libc 自动创建对应lib名字的文件夹libc_objs,将LIBC.LIB拷入,按任意键继续执行。 中间有提示按回车的,按回车 生成 libc.sig,改名为vc6libc.sig(已经存在一个),拷贝到IDA的sig/pc下,有目录限制的。 在IDA shift+F5 --> 右键 Apply new signature...,搜索vc6lib,应
加强版lib2sig批处理脚本 批量对lib文件进行签名
09-27
改装后的lib2sig脚本,可以批量对lib文件进行签名,方便多了~!
[原]排错实战——解救加载调试符号失败的IDA
01-30 949
原调试IDA排错troubleshootsymbolspdbsysinternalprocess monitor 缘起 最近想借助IDA逆向一个函数。在windows下,调试器(比如vs, windbg)可以通过调试符号(PDB)把地址与符号名对应起来,为我们提供更可读的信息。IDA应该也支持加载PDB,通过查看IDA安装目录下的idahelp.chm(打开后搜索PDB即可找...
IDA pro Flair 制作静态库文件签名
cwg2552298的博客
08-16 3547
        在逆向分析软件的时候,会遇到应用程序静态链接了某些开源的库,而IDA并不能对这些开源的 库函数进行识别,这时候就需要我们去制作对应库文件的 函数签名文件,帮助IDA识别静态链接的 库函数。       需要的工具以及文件pcf.exe - 生成模式文件的工具; sigmake.exe - 生成sig文件的工具; 开源库的源代码,编译器。       注意:I.因为不同编...
IDA配置符号表路径
、moddemod
05-20 2614
IDA安装目录找到pdb.cfg 配置PDBSYM_SYMPATH
如何制作vc6静态链接库的IDA SIG文件
sstower的专栏
10-30 562
网上有制作vc静态链接库的IDA SIG文件的文章,但是他针对的是VC7, 并且给出的脚本有一点小问题,我基于他的基础做了部分修改: 1. 把vc6下的libc.lib 拷贝到flair61\bin路径下,这样执行prf,sigmake就不用再指定长长的路径 2.尝试用plb制作pat 文件是不成功的,它会返回错误信息: 基本思路是从libc.lib 导出obj文件,用prf制作pat,...
IDA6.1下载符号表时卡死
wqx12343的博客
12-07 1045
第一次打开IDA,要求下载微软符号表,点击“确定”后,出现对话框“please waiting”,由于网速慢,很长时间没有反应,点击IDA,出现该页没有响应。解决办法: 1、去微软网站下载对应符号表,放在c:\symbols目录下。 2、打开IDA-cfg-PDB.CFG ,右键-文本编辑器编辑。修改为如下所示 PDBSYM_DOWNLOAD_PATH = “c:\symbols”;//
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值