當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

18.IDA-创建自己的sig（创建自己的标签）

發布時間：2025/3/15 编程问答 33 豆豆

生活随笔收集整理的這篇文章主要介紹了 18.IDA-创建自己的sig（创建自己的标签）小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

工具

flirt68.zip

pcf.exe/pcf: 生成一個模式文件.pat?
sigmake.exe: 生成一個簽名文件.sig

流程

創建PAT

?生成pat文件,pat.txt文件說明各個模式的格式。

第一部分

列舉了它所代表的函數的初始字節序列，最長為32個字節。一些字節因為重定位的入口而有所不同，這些字節將得到“補償”，每個字節以兩點顯示。。如果一個函數短于32個字節（例如前面代碼中的_ffs函數），用點將模式填充到64個字符。

每個字節需要兩個字符。要顯示32個字節的內容，需要64個十六進制字符。

可以看到,OnFinalRelease函數的初始字節序為

85C974098B018B50046A01FFD2C3..........................?

可以使用windbg查看下函數：?

0:000> db 3e1010?
003e1010 85 c9 74 09 8b 01 8b 50-04 6a 01 ff d2 c3 cc cc??

其他部分

CRC16值、函數的字節長度以及函數引用的符號名稱列表?

創建sig

只要有兩個函數的模式相同，就會發生沖突。如果不能解決沖突，在應用簽名的過程中，我們就無法確定函數到底與哪一個簽名相匹配。?
只要存在沖存，sigmake生成的就不是.sig文件，而是一個排斥文件（.exc），.exc文件是文本文件，它詳細說明了sigmake在處理模式文件時遇到的沖突?
排斥文件是文本文件，它詳細說明了sigmake在處理模式文件時遇到的沖突?
每次運行sigmake失敗都會產生以下注釋，如再次失敗，注釋會附加在原來.ecx的最后?

;--------- (delete these lines to allow sigmake to read this file)?
; add '+' at the start of a line to select a module?
; add '-' if you are not sure about the selection?
; do nothing if you want to exclude all modules?

隨便找一個沖突點（可以看到它們的初始字節序列完全相同）?
+?GetDrawState@DUICheckBox@DM@@QAEHXZ 14 3ACE 33C03981A000000074298B4920F6C1107407B803000000EB12F6C1027407B802
?GetDrawState@DUIRadioButton@DM@@QAEHXZ 14 3ACE 33C03981A000000074298B4920F6C1107407B803000000EB12F6C1027407B802?

1. 刪除上面4行以分號開頭的注釋?
2.sigmake讓你僅指定一個函數作為相關簽名的匹配函數。任何時候，如果在數據庫中發現一個對應的簽名，并且你想應用一個函數的名稱，那么，你可以在該函數名稱前附加一個加號；如果你只想在數據庫中添加某個函數的注釋，則在該函數名稱前附加一個減號；如果在數據庫中發現對應的簽名時，你不想應用任何名稱，那么，你不需要添加任何符號。（+號只能有一個，-號和+號二者只能存一）?
比如上面DUICheckBox使用了+號(注意比較初始字節序號)：?

加載sig

成功生成簽名文件后，你需要將它復制到你的/sig目錄中，以便IDA使用這個文件。隨后，你可以通過File?Load File?FLIRT Signature File訪問這個新簽名。?

附

（1）為最大限度地減少沖突，請刪除排斥文件開頭的4個注釋行。?
（2）最多只能給沖突函數組中的一個函數附加+/-。?
（3）如果一個沖突函數組僅包含一個函數，不要在該函數前附加+/-，讓它保持原狀即可。?
（4）sigmake連續運行失敗會將數據（包括注釋行）附加到現有的任何.exc文件后。在再次運行sigmake之前，你必須刪除這些額外的數據，并更正原始數據（如果這些數據是正確的，sigmake將不會再次運行失敗）。

特別注意第四點，如果再次失敗，.exc文件最后面會自動附加上面的注釋行和失敗地方，注意刪除

IDB_2_PAT生成pat

可以在另一個IDA數據庫生成pat，用于這個IDA數據庫?
如果只有dll,則反匯編該dll,然后用IDB_2_PAT插件生成.PAT文件然后sigmake生成.sig?

http://www.openrce.org/downloads/details/26/IDB_2_PAT

總結

以上是生活随笔為你收集整理的18.IDA-创建自己的sig（创建自己的标签）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇： win32diskimager报错：An
下一篇：关于进程资源限制的getrlimit和s