當(dāng)前位置：首頁 >

18.IDA-创建自己的sig

發(fā)布時間：2024/4/11 38 豆豆

生活随笔收集整理的這篇文章主要介紹了 18.IDA-创建自己的sig 小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.

工具

flirt68.zip

pcf.exe/pcf: 生成一個模式文件.pat?
sigmake.exe: 生成一個簽名文件.sig

流程

創(chuàng)建PAT

生成pat文件,pat.txt文件說明各個模式的格式。

第一部分

列舉了它所代表的函數(shù)的初始字節(jié)序列，最長為32個字節(jié)。一些字節(jié)因為重定位的入口而有所不同，這些字節(jié)將得到“補償”，每個字節(jié)以兩點顯示。。如果一個函數(shù)短于32個字節(jié)（例如前面代碼中的_ffs函數(shù)），用點將模式填充到64個字符。

每個字節(jié)需要兩個字符。要顯示32個字節(jié)的內(nèi)容，需要64個十六進(jìn)制字符。

可以看到,OnFinalRelease函數(shù)的初始字節(jié)序為

85C974098B018B50046A01FFD2C3..........................

可以使用windbg查看下函數(shù)：?

0:000> db 3e1010?
003e1010 85 c9 74 09 8b 01 8b 50-04 6a 01 ff d2 c3 cc cc?

其他部分

CRC16值、函數(shù)的字節(jié)長度以及函數(shù)引用的符號名稱列表?

創(chuàng)建sig

?
只要有兩個函數(shù)的模式相同，就會發(fā)生沖突。如果不能解決沖突，在應(yīng)用簽名的過程中，我們就無法確定函數(shù)到底與哪一個簽名相匹配。?
只要存在沖存，sigmake生成的就不是.sig文件，而是一個排斥文件（.exc），.exc文件是文本文件，它詳細(xì)說明了sigmake在處理模式文件時遇到的沖突?
排斥文件是文本文件，它詳細(xì)說明了sigmake在處理模式文件時遇到的沖突?
每次運行sigmake失敗都會產(chǎn)生以下注釋，如再次失敗，注釋會附加在原來.ecx的最后?
;--------- (delete these lines to allow sigmake to read this file)?
; add '+' at the start of a line to select a module?
; add '-' if you are not sure about the selection?
; do nothing if you want to exclude all modules?

隨便找一個沖突點（可以看到它們的初始字節(jié)序列完全相同）?
+?GetDrawState@DUICheckBox@DM@@QAEHXZ 14 3ACE 33C03981A000000074298B4920F6C1107407B803000000EB12F6C1027407B802?
?GetDrawState@DUIRadioButton@DM@@QAEHXZ 14 3ACE 33C03981A000000074298B4920F6C1107407B803000000EB12F6C1027407B802?

1. 刪除上面4行以分號開頭的注釋?
2.sigmake讓你僅指定一個函數(shù)作為相關(guān)簽名的匹配函數(shù)。任何時候，如果在數(shù)據(jù)庫中發(fā)現(xiàn)一個對應(yīng)的簽名，并且你想應(yīng)用一個函數(shù)的名稱，那么，你可以在該函數(shù)名稱前附加一個加號；如果你只想在數(shù)據(jù)庫中添加某個函數(shù)的注釋，則在該函數(shù)名稱前附加一個減號；如果在數(shù)據(jù)庫中發(fā)現(xiàn)對應(yīng)的簽名時，你不想應(yīng)用任何名稱，那么，你不需要添加任何符號。（+號只能有一個，-號和+號二者只能存一）?
比如上面DUICheckBox使用了+號(注意比較初始字節(jié)序號)：?

加載sig

成功生成簽名文件后，你需要將它復(fù)制到你的/sig目錄中，以便IDA使用這個文件。隨后，你可以通過File?Load File?FLIRT Signature File訪問這個新簽名。?

附

（1）為最大限度地減少沖突，請刪除排斥文件開頭的4個注釋行。?
（2）最多只能給沖突函數(shù)組中的一個函數(shù)附加+/-。?
（3）如果一個沖突函數(shù)組僅包含一個函數(shù)，不要在該函數(shù)前附加+/-，讓它保持原狀即可。?
（4）sigmake連續(xù)運行失敗會將數(shù)據(jù)（包括注釋行）附加到現(xiàn)有的任何.exc文件后。在再次運行sigmake之前，你必須刪除這些額外的數(shù)據(jù)，并更正原始數(shù)據(jù)（如果這些數(shù)據(jù)是正確的，sigmake將不會再次運行失敗）。

特別注意第四點，如果再次失敗，.exc文件最后面會自動附加上面的注釋行和失敗地方，注意刪除

IDB_2_PAT生成pat

可以在另一個IDA數(shù)據(jù)庫生成pat，用于這個IDA數(shù)據(jù)庫?
如果只有dll,則反匯編該dll,然后用IDB_2_PAT插件生成.PAT文件然后sigmake生成.sig?
http://www.openrce.org/downloads/details/26/IDB_2_PAT

總結(jié)

以上是生活随笔為你收集整理的18.IDA-创建自己的sig的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。

上一篇： 17.IDA-基本块的定义
下一篇： 19.IDA-栈指针调节、设置函数特性