首页
社区
课程
招聘
[转帖]Signsrch 0.1.7a
发表于: 2012-11-13 10:21 2221

[转帖]Signsrch 0.1.7a

2012-11-13 10:21
2221
Signsrch 0.1.7a
tool for searching signatures inside files, extremely useful as help in reversing jobs like figuring or having an initial idea of what encryption/compression algorithm is used for a proprietary protocol or file.
it can recognize tons of compression, multimedia and encryption algorithms and many other things like known strings and anti-debugging code which can be also manually added since it's all based on a text signature file read at runtime and easy to modify.
supports also the scanning of processes, the conversion of the offsets of the executables in memory offsets, the loading of custom signature files and their automatic checking for avoiding errors, the automatic finding of the instructions that reference the found signatures (like "Find references" of Ollydbg) and the launching of an executable placing an INT3 byte at the desired memory offset (for example one of those retrieved with the -F option, watch the Video setion for an example).
the tool supports 8, 16, 32 and 64 bits, float and double plus automatic CRC table creation and C style strings.
feel free to send me your comments and other signatures if you like this tool.
the latest signsrch.sig file is available here: 05 Nov 2012
exists also a wrapper for Immunity Debugger available on http://www.autistici.org/ratsoul/iss.html

http://aluigi.org/

http://aluigi.org/mytoolz/signsrch.zip

signsrch.zip

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 1
支持
分享
最新回复 (2)
雪    币: 213
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
Sigsrch 0.1.7a                                                                 
by uigi Auriemma                                                               
e-mil: aluigi@autistici.org                                                   
web    aluigi.org                                                              
  otimized search function by Andrew http://www.team5150.com/~andrew/         
  dsassembler engine by Oleh Yuschuk                                          
                                                                              
                                                                              
Usae: signsrch [options] [file1] ... [fileN]                                   
                                                                              
Optons:                                                                        
-l      list the available signatures in the database                          
-L UM   show the data of the signature NUM                                    
-s ILE  use the signature file FILE (signsrch.sig)                             
-p      list the running processes and their modules                           
-P ID   use the process/module identified by its pid or part of name/path      
-d ILE  dump the process memory (like -P) in FILE                              
-e      consider the input file as an executable (PE/ELF), can be useful      
        because will show the rva addresses instead of the file offsets        
-F      as above but returns the address of the first instruction that points  
        to the found signature, for example where is used the AES Td0 table,   
        something like an automatic "Find references" of Ollydbg               
-E      disable the automatic executable parsing used with -P                  
-b      disable the scanning of the big endian versions of the signatures      
-3 FF   execute the file applying an INT3 (0xcc) byte at the specified         
        offset (rva memory address, not file offset!) in hexadecimal notation  
        and remember to have a debugger set as "Just-in-time" debugger         
                                                                              
use- for stdin                                                                 
URLfor the updated signsrch.sig:
http://aluigi.org/mytoolz/signsrch.sig.zip

Sigsrch 0.1.7a
uigi奥列马
E-MIL:aluigi@autistici.org
网络aluigi.org
otimized搜索由安德鲁·http://www.team5150.com/功能〜安德鲁/
dsassembler引擎奥莱Yuschuk


USAE:signsrch [选项] [file1中] ... [fileN]

Optons:
-l列出可用的特征码数据库中的
-L UM显示签名NUM数据
-S ILE使用的签名文件文件(signsrch.sig)
-p列出正在运行的进程及其模块
-P ID在使用过程中确定的PID或部分的名称/路径/模块
-D ILE进程的内存转储(如P)FILE
-E考虑输入文件的可执行文件(PE / ELF),可能是有用的
因为显示的RVA地址,而不是文件偏移
-F上面一样,但返回点的地址的第一个指令
找到的签名,例如,当使用的AES TD0表
像一个自动的“查找引用”的Ollydbg
-E禁止使用-P的自动可执行文件解析
-b禁用签名的扫描的大端版本的
-3 FF申请INT3(0XCC)的字节在指定的执行文件
在十六进制记数法表示偏移(RVA的内存地址,而不是文件偏移!)
记得有一个调试器设置为“时间”调试

使用标准输入
URLfor更新signsrch.sig:http://aluigi.org/mytoolz/signsrch.sig.zip
2012-11-13 12:28
0
雪    币: 1644
活跃值: (53)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
感谢分享, 很好用。
2012-12-20 12:53
0
游客
登录 | 注册 方可回帖
返回
//