IDA中SIG文件

最新推荐文章于 2024-03-30 11:29:17 发布
最新推荐文章于 2024-03-30 11:29:17 发布
阅读量573 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 反汇编
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_28110727/article/details/97411725
本文探讨了静态链接库(Lib)的原理,包括重命名、符号信息的记录及使用dumpbin工具导出函数信息的方法。同时,介绍了FLIRT签名识别库函数的过程,以及在IDA和OD动态调试中如何加载和利用符号文件进行分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

静态链接库(Lib): 重命名为.7z, 记录了函数的符号信息.

使用dumpbin /exports XXX.lib > XXX.txt

 

FLIRT签名识别库函数:

  1. 创建模式文件: PCF XXX.lib XXXX.bat
  2. 创建符号文件:SIGMAKE XXXX.bat XXXX.sig

将生成的XXXX.sig文件放到ida中sig文件夹下

 

OD动态调试时.可以先通过IDA加载符号文件进行分析后, 创建map文件, 在利用插件加载map文件后, 再进行分析

 

SIG文件制作失败: 通常错误原因为多个函数提取的特征码一样.

使用文本编辑器查看后缀为exc文件, 根据文件的内容前面的注释, +-进行保留或者删除, 或者直接删除前面的提示.

使用IDA FLAIR生成SIG文件
好记性不如烂笔头
08-20 2675
背景介绍 IDA的SDK中提供的FLAIR SIG TOOLS,可以从静态库生成对应的PTN文件,再进一步生成SIG文件。这个文件也就是我们想要生成的,可以应用在IDA中,增加symbol的。(原理大致是根据函数汇编指令的signature特征和函数名的对应关系,然后,在应用SIG时,去匹配特征,并将匹配到的函数名修改。)因为函数的特征是根据函数的汇编指令生成的,所以,可能会存在冲突,当有冲突产...
IDA sig文件的生成与使用
生命不息 折腾不止
08-05 2977
问题引入:Sig文件能使得IDA识别更多的符号,便于分析; 前面在《IDA 逆向技巧》中有提到sig文件的制作,自己写一个demo编译成为lib,再生成sig文件,具体步骤如下; 1、使用IDA打开lib,可以看出lib里面有多少个obj文件; 2、使用link.exe 将lib中的obj文件导出来(这个link.exe 来自于哪里?) 命令:link -lib /extract:test...
IDA sig文件使用教学录像
12-04
IDA sig文件使用教学录像IDA sig文件使用教学录像IDA sig文件使用教学录像
IDA中应用SIG文件
lixiangminghate的专栏
08-02 6633
SIG文件IDA的作用中相当于符号文件。如果是自己写的PE文件,在编译过程中会产生OBJ文件,可以通过工具为它生成SIG文件。先把SIG文件拷贝到IDA目录的sig文件夹中,加载PE文件后依次点击view-"Open subview"-Signatures(快捷键shift+F5)打开已应用的签名窗口: 在"List of applied library modules"右键添加sig文件...
IDA中的SIG应用
weixin_34037173的博客
01-24 260
SIGIDA中相当于符号文件的作用,如果是自己写的PE程序,编译后会有OBJ文件,可以通过工具把它转化为一个SIG 便于在IDA观看。要应用SIG需要把SIG文件拷贝到IDA目录下的sig文件夹中,然后在IDA中shift+F5在右键添加相应添加相应的项目,反汇编中的函数名就会变为原本的函数名,这样方便查看。如果是第三方lib 也可以转换出一个sig 其中转换需要用到的工...
IDA生成sig签名文件
qq_35426012的博客
12-03 2386
IDA介绍 IDA是一款强大的静态分析(程序不需要运行时直接查看汇编)工具,OD相反,OD是强大的动态追踪(程序运行时分析)工具 IDA签名的作用 因为有些版本的IDE在release版本下IDA识别不了库的函数名,如我在vc6.0下选择MT(多线程静态编译),release版本编译一个pritnf的程序 代码如下: int main(int argc, char* argv[]) { p...
IDA SIG文件制作 批处理方法
wujian_changhai的博客
05-10 1408
IDA SIG文件制作 批处理方法
IDA-SIG_idapro_
09-30
Collectoin of IDA Pro sig file
ida_sig.7z
09-07
包含了ida的flair61工具以及lib2sig.bat和libs.bat,并说明了如何利用.a文件和.lib文件生成.sig文件,以及说明了如何使用.sig文件
uclibc-sig:用于多体系结构uClibc库的IDA SIG文件
05-12
uClibc库的IDA多体系SIG文件。 签名是使用uClibc 0.9.30.1上的IDA Flair 7.1生成的。 正如所解释的那样,uClibc 0.9.30.1发行了一系列针对不同CPU体系结构(例如x86,MIPS,ARM ...)的预编译构建环境。 为了简化...
ida sig.zip
05-13
包含了ida的flair61工具以及lib2sig.bat和libs.bat,并说明了如何利用.a文件和.lib文件生成.sig文件,以及说明了如何使用.sig
IDA SIG 批量生成签名工具 c++ 不是bat
04-26
IDA SIG 批量生成签名工具 c++ 不是bat IDA SIG 批量生成签名工具 c++ 不是bat
18.IDA-创建自己的sig
liujiayu2的专栏
08-23 830
工具 flirt68.zip pcf.exe/pcf: 生成一个模式文件.pat  sigmake.exe: 生成一个签名文件.sig 流程 创建PAT 生成pat文件,pat.txt文件说明各个模式的格式。 第一部分 列举了它所代表的函数的初始字节序列,最长为32个字节。一些字节因为重定位的入口而有所不同,这些字节将得到“补偿”,每个字节以
IDA8.3 - make sig
最新发布
谢绝(无视)留言与私信
03-30 1599
有个reverseMe用VS2015 x64 release static MFC Dlg写的,IDA8.3只能识别一部分库函数。想做个VS2015的IDA sig库, 让IDA8.3加载sig库后再分析。
制作sig文件
RedLobster的博客
02-23 2498
本文为在学习过程中的笔记,写的不好请见谅. 在使用IDA的过程中,由于缺少符号文件,有些库函数不能识别. 例 #include "stdafx.h" int main(int argc, char* argv[]) { printf("Hello World!\n"); return 0; } .text:00401000 _main proc
IDA制作签名
Cray
08-08 1034
我这里使用的是IDA6.8的制作签名包 如果我们知道是什么语言 的,但是没有签名包,就自己做一个 手工方式: 1.pcf.exe source.lib XXXX.pcf 2.sigmake.exe XXXX.pcf YYYY.sig 这里一般会生成一个XXXX.exc的文件,打开它,删除以;开始的几行,保存退出 3.再次执行sigmake.exe XXXX.pcf YYYY.sig,就会看到有YY...
如何制作vc6静态链接库的IDA SIG文件
sstower的专栏
10-30 562
网上有制作vc静态链接库的IDA SIG文件的文章,但是他针对的是VC7, 并且给出的脚本有一点小问题,我基于他的基础做了部分修改: 1. 把vc6下的libc.lib 拷贝到flair61\bin路径下,这样执行prf,sigmake就不用再指定长长的路径 2.尝试用plb制作pat 文件是不成功的,它会返回错误信息: 基本思路是从libc.lib 导出obj文件,用prf制作pat,...
1 C++反汇编 IDA sig的作用和生成方法
小邪
02-05 503
用到工具: ida7.5 : 链接:https://pan.baidu.com/s/104yOAxQ_LqqHC3275xjj4Q 提取码:1234 sig生成工具:链接:https://pan.baidu.com/s/1NgRVR3eQRBdYyIImWeI8Jw 提取码:1234 ida不仅可以把lib里面的函数识别出来 也可以通过exe的obj来识别自定义的函数名 ida 通过快捷键shift+F5 可以打开sig文件目录清单 可以通过lib生成OBJ文件 然后通过OBJ文件生成PAT文
IDA工具应用:从.a与.lib文件生成及使用.sig文件
1. 在IDA中加载这些签名文件,以便在分析程序时能够快速识别库文件中的函数和变量。 2. 签名文件可以用来辅助动态分析,帮助分析者理解程序运行时调用的库函数和其行为。 3. 通过比较不同版本的软件或不同构建生成的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值