-
-
[原创] idaSig制作工具
-
2020-11-5 20:44
9190
-
idaSigMaker
本程序仅是给ida提供的flair命令行工具封装了一个GUI, 没有什么技术含量, 纯粹是对nim_duilib界面库的一个练手 (网上其实已经有很多这种工具了, 这只是重复造了个轮子)
代码: https://pan.baidu.com/s/1fMw3-gMilsZIdrPpNOSrkw 提取码: enqx
成品见附件
1. sig简介
IDA通过sig文件中的特征码匹配识别函数
sig制作过程:
- 利用FLAIR解析器为静态库创建一个模式文件(.pat)
- 运行sigmake.exe处理创建的模式文件,生成一个签名文件(.sig)
2. 使用方法
可以直接拖入文件, 也可以拖入目录
2.1 设置选项
- 输出目录: 默认sig文件生成目录是在 程序运行目录\sig_out 文件夹下
- 冲突处理模式
- 可能会有多个函数有相同的特征码, 此时sigmake会产生一个exc文件, 自动处理会在每一处冲突的第一行添加一个\'+\'
- 手动处理目前只支持单文件 (因为不知道怎么阻塞主线程)
- 制作处理模式
- 模式1是将每一项(即ListBox中的每一行)都添加到同一条pat命令行中, 遇到目录则在目录后添加\.后缀名, 遇到文件则直接加入到pat命令行中, 例如E:\dir1和E:\dir2\a.lib 则模式1会执行命令行(pcf.exe E:\dir1\\.lib E:\dir2\a.lib 时间戳.pat), 再执行sigmake
- 模式2是将每一项单独执行一个pat命令行, 例如E:\dir1和E:\dir2\a.lib 则模式2会执行命令行(pcf.exe E:\dir1\*.lib 时间戳.pat) 和 (pcf.exe E:\dir2\a.lib 时间戳.pat), 再执行两次sigmake
- 模式3会将每一个文件执行一个pat命令行, 即遇到目录不会在目录后添加\*.后缀名, 而是遍历文件夹将遇到的每一个文件执行一次pat和sigmake
主界面的 PAT类型 选项只针对模式1和模式2, 即执行哪种pat命令行, 例如是pcf还是pelf等, 模式3无论如何都会自动识别 (自动识别是通过判断文件后缀名实现的)
2.2 添加命令行
本程序没有把flair里所有工具的命令行都实现, 可以自己在程序目录下的 setting.ini 文件中自行添加
例如:
程序遇到指定的后缀时就会执行定义的命令行(setting.ini中的exe和type一一对应)
(那个dcu2pat是很久之前的一个外国人写的工具了, 只支持Delphi 2007 2009 2010
XE XE2
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法