[原创]如何制作vc静态链接库的IDA SIG文件？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]如何制作vc静态链接库的IDA SIG文件？

发表于: 2008-4-17 17:52 47631

[原创]如何制作vc静态链接库的IDA SIG文件？

tnttools

2008-4-17 17:52

47631

很多天前，有人提出这个问题。当时没有想到用lib.exe，以为自己要重新发明一个轮子ar2.exe，才可能解析出MS LIB文件中的OBJ文件。今天又看见有人发贴，再次dig一下，不过如此...

下面是在命令行上制作的过程，环境是WinXP+NTFS+VS2003，在我的机子上运行无误。破折号之间的引用都是命令行。

附件是制作好的SIG文件，可以准确地解析出printf()函数，当然还有其它很多很多库函数。

Step 1:
将libc.lib, libcd.lib, libcmt.lib, libcmtd.lib从原文件夹下复制过来。
For:
避免在命令行上输入过长的路径

Step 2:
-----------------
set path = %path%;C:\Program Files\Microsoft Visual Studio .NET 2003\Vc7\bin
set path = %path%;C:\Program Files\IDA\addons\Flair.v5.20\bin
-----------------
设置要调用的程序的路径，在你的机子上不一定如此

Step 3:
-----------------------------
for %i in (*.lib) do md %i.fdr
-----------------------------
For: 新建存放对象文件的文件夹

Step 4:
-----------------------------
cd v:\libc.lib.fdr
for /F "skip=3"  %i in ('link.exe -lib /list ..\libc.lib') do link.exe -lib /extract:%i ..\libc.lib

cd v:\libcd.lib.fdr
for /F "skip=3"  %i in ('link.exe -lib /list ..\libcd.lib') do link.exe -lib /extract:%i ..\libcd.lib

cd v:\libcmt.lib.fdr
for /F "skip=3"  %i in ('link.exe -lib /list ..\libcmt.lib') do link.exe -lib /extract:%i ..\libcmt.lib

cd v:\libcmtd.lib.fdr
for /F "skip=3"  %i in ('link.exe -lib /list ..\libcmtd.lib') do link.exe -lib /extract:%i ..\libcmtd.lib

-----------------------------
For: 依次提取libc.lib, libcd.lib, libcmt.lib, libcmtd.lib中的所有对象文件。

Step 5:
--------------------------
for %i in (.\libc.lib.fdr\*.obj) do pcf.exe -g0 %i
for %i in (.\libcd.lib.fdr\*.obj) do pcf.exe -g0 %i
for %i in (.\libcmt.lib.fdr\*.obj) do pcf.exe -g0 %i
for %i in (.\libcmtd.lib.fdr\*.obj) do pcf.exe -g0 %i
-------------------------
pcf.exe -g0 .\libc.lib.fdr\*.obj
pcf.exe -g0 .\libcd.lib.fdr\*.obj
pcf.exe -g0 .\libcmt.lib.fdr\*.obj
pcf.exe -g0 .\libcmtd.lib.fdr\*.obj
-------------------------
For: 由.obj文件生成.pat文件。为了避免pcf.exe在执行的过程中处理非COFF文件时中断、出现提示信息“is not ar/coff file\npress enter to exit”，加上参数"-g0"。

Step 6:
-------------------------
sigmake -n"VC7 Static Lib (ST/MT & Rel/Dbg) By TnTTools" libc.lib.fdr\*.pat+libcd.lib.fdr\*.pat+libcmt.lib.fdr\*.pat+libcmtd.lib.fdr\*.pat vc7libc
See the documentation to learn how to resolve collisitions.
: modules/leaves: 9021136/3610, COLLISIONS: 2690
-------------------------
sigmake -n"VC7 Static Lib (ST/MT & Rel/Dbg) By TnTTools" libc.lib.fdr\*.pat+libcd.lib.fdr\*.pat+libcmt.lib.fdr\*.pat+libcmtd.lib.fdr\*.pat vc7libc
--------------------------
For: 转化成SIG文件vc7libc.sig，在这里我把四个静态库文件放在一起，当然你可以分开放。通过第一次运行sigmake，知道有冲突存在。手工编辑.EXE文件后再次运行sigmake，生成vc7libc.sig。见附件。

[举例]

使用前
.text:00402A03                push offset aUsage ; " Usage: \n"
.text:00402A08                call sub_403772
.text:00402A0D                add    esp, 4
.text:00402A10                push offset aHashH ; " hash -h\n"
.text:00402A15                call sub_403772
.text:00402A1A                add    esp, 4
使用后
.text:00402A03                push offset aUsage ; " Usage: \n"
.text:00402A08                call _printf
.text:00402A0D                add    esp, 4
.text:00402A10                push offset aHashH ; " hash -h\n"
.text:00402A15                call _printf
.text:00402A1A                add    esp, 4

TnTTools
The Art Of Reverse Engineering
Enjoy it.

注意，我在这里讨论的仅是一种很特别的情况：VC静态库文件libc.lib, libcmt.lib。原因起源于论坛上网友的一个疑问。如果直接调用pcf.exe处理这两个文件会遇到问题。
没有必要编写什么程序来包裹它，一是它根本不是万能的SIG制作流程，在实际中，各种情况都有可能遇到；二是我们需要了解CONSOLE下STDOUT的各种输出信息（大部分人不感兴趣）；三是自动处理EXC后的手工编辑必不可少（至少在我看来如此）。

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

vc7libc.rar （70.44kb，646次下载）

收藏・42

免费・7

支持

最新回复 (27) 1 2 ▶
amour 雪币： 250 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 102 粉丝 0 关注私信	amour 2 楼运气好，上来就看见好东西了，收藏+学习 2008-4-17 21:31 0
百家拳雪币： 211 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 59 粉丝 0 关注私信	百家拳 3 楼好，谢谢了整理了一下，做了个bat文件，使用格式为 lib2sig.bat [your lib flie name] 但是还是一些人工干预，不知各位有何良策？非常感谢楼主提供的/extract选项。上传的附件： lib2sig.rar （0.21kb，471次下载） 2008-4-17 22:10 0
tnttools 雪币： 297 活跃值： (27) 能力值： ( LV13，RANK：380 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	tnttools 9 4 楼 [QUOTE=百家拳;442531]好，谢谢了整理了一下，做了个bat文件，使用格式为 lib2sig.bat [your lib flie name] 但是还是一些人工干预，不知各位有何良策？非常感谢楼主提供的/extract选项。[/QUOTE] 大家都是地球人，真的是想法一样。我原本也想写脚本，名字和你的一模一样，思路和你的基本一样。为什么没有写出来，因为for命令不支持%1的解析，下面这句解析有问题。 for /F "skip=3" %%i in ('link.exe -lib /list %1') do link.exe -lib /extract:%%i %1 暂时没有想到好办法，或许WSH、JS可能可以实现，不知谁有兴趣写出来。 2008-4-18 00:25 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 5 楼好贴必顶 2008-4-18 03:58 0
BeQuick 雪币： 208 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 31 粉丝 0 关注私信	BeQuick 6 楼十分感谢tnttools 我一直都没有自己做vc静态库的.sig文件(惭愧一下) 不过你的我还没试现在在忙其他的事最后对你赞一个 2008-4-19 18:58 0
angelqkm 雪币： 277 活跃值： (106) 能力值： ( LV9，RANK：230 ) 在线值：发帖 13 回帖 56 粉丝 4 关注私信	angelqkm 5 7 楼找了一下批处理命令，重新整理了一个，里面有使用说明哈。另外该了一下pcf程序里面的跳转，把里面要求输入回车的地方跳过了上传的附件： lib2sig.rar （129.42kb，780次下载） 2008-4-19 19:08 0
shs 雪币： 200 活跃值： (163) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 97 粉丝 1 关注私信	shs 8 楼看不懂啊！！学习一下。 2008-4-20 08:15 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 9 楼好贴啊，先保存，再收藏。我觉得这个应该加精啊，虽然都是基本的命令行，但lz搞得这么清晰的，应该加精 2008-4-20 12:26 0
morhai 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	morhai 10 楼好好学习一下，很不错 2008-4-23 20:20 0
rst 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	rst 11 楼做sig文件，没必要将lib文件解开吧？楼主你是不是弄错了 2008-4-24 14:47 0
fuqiang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	fuqiang 12 楼 ... 学习学习 2008-4-24 17:27 0
terren 雪币： 254 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 92 粉丝 0 关注私信	terren 1 13 楼 mark一下，支持tnttools。 2008-4-25 21:32 0
吹风生雪币： 390 活跃值： (15) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 92 粉丝 1 关注私信	吹风生 3 14 楼赞赞赞赞赞赞 2008-6-25 21:48 0
caocunt 雪币： 215 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 359 粉丝 0 关注私信	caocunt 15 楼很好,支持一个 2008-6-25 23:28 0
daivdb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	daivdb 16 楼支持 2008-7-10 14:23 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 17 楼顶学习！！！！！！ 2008-7-10 15:12 0
www 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	www 18 楼十分感谢tnttools 我一直都没有自己做vc静态库的.sig文件(惭愧一下) 不过你的我还没试现在在忙其他的事 2008-7-27 11:23 0
laowanghai 雪币： 266 活跃值： (337) 能力值： ( LV9，RANK：550 ) 在线值：发帖 36 回帖 163 粉丝 11 关注私信	laowanghai 13 19 楼留个座位，宽带下载 2008-7-29 11:21 0
idreamerhx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	idreamerhx 20 楼大家都能做了？我在最后一步还是出错了，不知道什么叫“手工编辑.EXE文件后再次运行sigmake” 我做了一个vc2008的文件上传的附件： libcmt.rar （55.02kb，162次下载） 2008-8-21 20:13 0
ouyangtian 雪币： 130 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 21 楼找了好久啊，感动！！　 2010-3-10 09:03 0
xtxxp 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 0 关注私信	xtxxp 22 楼看不懂啊！！学习一下。 2010-6-10 09:30 0
antno 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	antno 23 楼对批处理不太熟写了个js脚本，修改一下就可以使用了 lib2sig.rar 上传的附件： lib2sig.rar （1.25kb，94次下载） 2011-3-20 16:47 0
五月雪Snow 雪币： 80 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	五月雪Snow 24 楼谢谢楼主了！好好学习一下！ 2011-4-25 11:34 0
gaozhihan 雪币： 33 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 42 粉丝 0 关注私信	gaozhihan 25 楼 lib2sig 命令行 lib2sig my.lib 生成my.sig 根目录下放LINK.EXE pcf.exe sigmake.exe dumpsig.exe 大家也可以自己根据需要定义环境变量注释掉那几句复制这几个文件到子目录下 ------------------------------------- @echo off md %1_objs copy sigmake.exe %1_objs\sigmake.exe copy pcf.exe %1_objs\pcf.exe copy %1 %1_objs\%1 copy LINK.EXE %1_objs\LINK.EXE copy dumpsig.exe %1_objs\dumpsig.exe cd %1_objs for /F %%i in ('link -lib /list %1') do link -lib /extract:%%i %1 for %%i in (.obj) do pcf %%i setlocal set fn=%~n1 sigmake -n"%1" .pat %fn%.sig endlocal if exist %1.exc for %%i in (%1.exc) do find /v ";" %%i > %1_tmp.exc if exist %1.exc for %%i in (%1.exc) do > %1_tmp.exc more +2 "%%i" copy %1_tmp.exc %1.exc del %1_tmp.exc setlocal set fn=%~n1 sigmake -n"%1" *.pat %fn%.sig copy %fn%.sig ..\%fn%.sig endlocal cd .. del %1_objs /s /q rd %1_objs ------------------------------------- 2011-11-11 13:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tnttools

发帖

回帖

380

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
amour 雪币： 250 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 102 粉丝 0 关注私信	amour 2 楼运气好，上来就看见好东西了，收藏+学习 2008-4-17 21:31 0
百家拳雪币： 211 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 59 粉丝 0 关注私信	百家拳 3 楼好，谢谢了整理了一下，做了个bat文件，使用格式为 lib2sig.bat [your lib flie name] 但是还是一些人工干预，不知各位有何良策？非常感谢楼主提供的/extract选项。上传的附件： lib2sig.rar （0.21kb，471次下载） 2008-4-17 22:10 0
tnttools 雪币： 297 活跃值： (27) 能力值： ( LV13，RANK：380 ) 在线值：发帖 15 回帖 96 粉丝 1 关注私信	tnttools 9 4 楼 [QUOTE=百家拳;442531]好，谢谢了整理了一下，做了个bat文件，使用格式为 lib2sig.bat [your lib flie name] 但是还是一些人工干预，不知各位有何良策？非常感谢楼主提供的/extract选项。[/QUOTE] 大家都是地球人，真的是想法一样。我原本也想写脚本，名字和你的一模一样，思路和你的基本一样。为什么没有写出来，因为for命令不支持%1的解析，下面这句解析有问题。 for /F "skip=3" %%i in ('link.exe -lib /list %1') do link.exe -lib /extract:%%i %1 暂时没有想到好办法，或许WSH、JS可能可以实现，不知谁有兴趣写出来。 2008-4-18 00:25 0
Bughoho 雪币： 1946 活跃值： (248) 能力值： (RANK：330 ) 在线值：发帖 72 回帖 1217 粉丝 27 关注私信	Bughoho 8 5 楼好贴必顶 2008-4-18 03:58 0
BeQuick 雪币： 208 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 31 粉丝 0 关注私信	BeQuick 6 楼十分感谢tnttools 我一直都没有自己做vc静态库的.sig文件(惭愧一下) 不过你的我还没试现在在忙其他的事最后对你赞一个 2008-4-19 18:58 0
angelqkm 雪币： 277 活跃值： (106) 能力值： ( LV9，RANK：230 ) 在线值：发帖 13 回帖 56 粉丝 4 关注私信	angelqkm 5 7 楼找了一下批处理命令，重新整理了一个，里面有使用说明哈。另外该了一下pcf程序里面的跳转，把里面要求输入回车的地方跳过了上传的附件： lib2sig.rar （129.42kb，780次下载） 2008-4-19 19:08 0
shs 雪币： 200 活跃值： (163) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 97 粉丝 1 关注私信	shs 8 楼看不懂啊！！学习一下。 2008-4-20 08:15 0
justlovemm 雪币： 208 活跃值： (40) 能力值： ( LV3，RANK：20 ) 在线值：发帖 33 回帖 605 粉丝 0 关注私信	justlovemm 9 楼好贴啊，先保存，再收藏。我觉得这个应该加精啊，虽然都是基本的命令行，但lz搞得这么清晰的，应该加精 2008-4-20 12:26 0
morhai 雪币： 213 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	morhai 10 楼好好学习一下，很不错 2008-4-23 20:20 0
rst 雪币： 223 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 22 粉丝 0 关注私信	rst 11 楼做sig文件，没必要将lib文件解开吧？楼主你是不是弄错了 2008-4-24 14:47 0
fuqiang 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	fuqiang 12 楼 ... 学习学习 2008-4-24 17:27 0
terren 雪币： 254 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 92 粉丝 0 关注私信	terren 1 13 楼 mark一下，支持tnttools。 2008-4-25 21:32 0
吹风生雪币： 390 活跃值： (15) 能力值： ( LV8，RANK：130 ) 在线值：发帖 16 回帖 92 粉丝 1 关注私信	吹风生 3 14 楼赞赞赞赞赞赞 2008-6-25 21:48 0
caocunt 雪币： 215 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 359 粉丝 0 关注私信	caocunt 15 楼很好,支持一个 2008-6-25 23:28 0
daivdb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	daivdb 16 楼支持 2008-7-10 14:23 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 17 楼顶学习！！！！！！ 2008-7-10 15:12 0
www 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	www 18 楼十分感谢tnttools 我一直都没有自己做vc静态库的.sig文件(惭愧一下) 不过你的我还没试现在在忙其他的事 2008-7-27 11:23 0
laowanghai 雪币： 266 活跃值： (337) 能力值： ( LV9，RANK：550 ) 在线值：发帖 36 回帖 163 粉丝 11 关注私信	laowanghai 13 19 楼留个座位，宽带下载 2008-7-29 11:21 0
idreamerhx 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 10 粉丝 0 关注私信	idreamerhx 20 楼大家都能做了？我在最后一步还是出错了，不知道什么叫“手工编辑.EXE文件后再次运行sigmake” 我做了一个vc2008的文件上传的附件： libcmt.rar （55.02kb，162次下载） 2008-8-21 20:13 0
ouyangtian 雪币： 130 活跃值： (66) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 168 粉丝 0 关注私信	ouyangtian 21 楼找了好久啊，感动！！　 2010-3-10 09:03 0
xtxxp 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 0 关注私信	xtxxp 22 楼看不懂啊！！学习一下。 2010-6-10 09:30 0
antno 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 15 粉丝 0 关注私信	antno 23 楼对批处理不太熟写了个js脚本，修改一下就可以使用了 lib2sig.rar 上传的附件： lib2sig.rar （1.25kb，94次下载） 2011-3-20 16:47 0
五月雪Snow 雪币： 80 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	五月雪Snow 24 楼谢谢楼主了！好好学习一下！ 2011-4-25 11:34 0
gaozhihan 雪币： 33 活跃值： (56) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 42 粉丝 0 关注私信	gaozhihan 25 楼 lib2sig 命令行 lib2sig my.lib 生成my.sig 根目录下放LINK.EXE pcf.exe sigmake.exe dumpsig.exe 大家也可以自己根据需要定义环境变量注释掉那几句复制这几个文件到子目录下 ------------------------------------- @echo off md %1_objs copy sigmake.exe %1_objs\sigmake.exe copy pcf.exe %1_objs\pcf.exe copy %1 %1_objs\%1 copy LINK.EXE %1_objs\LINK.EXE copy dumpsig.exe %1_objs\dumpsig.exe cd %1_objs for /F %%i in ('link -lib /list %1') do link -lib /extract:%%i %1 for %%i in (.obj) do pcf %%i setlocal set fn=%~n1 sigmake -n"%1" .pat %fn%.sig endlocal if exist %1.exc for %%i in (%1.exc) do find /v ";" %%i > %1_tmp.exc if exist %1.exc for %%i in (%1.exc) do > %1_tmp.exc more +2 "%%i" copy %1_tmp.exc %1.exc del %1_tmp.exc setlocal set fn=%~n1 sigmake -n"%1" *.pat %fn%.sig copy %fn%.sig ..\%fn%.sig endlocal cd .. del %1_objs /s /q rd %1_objs ------------------------------------- 2011-11-11 13:36 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复