idenLib

عند تحليل البرامج الضارة أو برنامج الطرف الثالث ، من الصعب تحديد المكتبات المرتبطة بشكل ثابت وفهم ما تفعله الوظيفة من المكتبة.

idenLib.exe هي أداة لإنشاء توقيعات المكتبة من ملفات .lib / .obj / .exe .

idenLib.dp32 / idenLib.dp64 هو مكون إضافي x32dbg / x64dbg لتحديد وظائف المكتبة.

idenLib.py هو مكون إضافي IDA Pro لتحديد وظائف المكتبة.

1. يقوم ملفات الإدخال بتحليل (ملف .lib / .obj ) للحصول على قائمة بعناوين الوظائف وأسماء الوظائف.
2. يحصل على آخر رمز من كل تعليمات

3. يضغط التوقيع مع ZSTD

4. يحفظ التوقيع ضمن دليل SymEx ، إذا كان اسم ملف الإدخال هو zlib.lib ، فسيكون الإخراج zlib.lib.sig أو zlib.lib.sig64 ، إذا كان zlib.lib.sig(64) موجودًا بالفعل تحت دليل SymEx من تنفيذ سابق أو من الإصدار السابق من المكتبة ، فإن التنفيذ التالي سيقوم بتنفيذ المسجلات التالية. إذا قمت بتنفيذ idenLib.exe عدة مرات مع إصدار مختلف من ملف .lib ، سيتضمن ملف .sig / sig64 جميع توقيعات الوظائف الفريدة.

داخل توقيع (مضغوط):

• إنشاء توقيعات المكتبة: idenLib.exe /path/to/file أو idenLib.exe /path/to/directory
• إنشاء توقيع الوظيفة main : idenLib.exe /path/to/pe -getmain

1. نسخ دليل SymEx ضمن x32dbg / x64dbg / IDA Pro الدليل الرئيسي
2. تطبيق التوقيعات:

x32dbg / x64dbg :

IDA Pro :

إذا كنت ترغب في إنشاء توقيع للوظيفة main التي تم تجميعها باستخدام MSVC 14 فيجب عليك إنشاء تطبيق hello world مع المترجم المقابل واستخدام التطبيق كمدخل لـ idenLib

ملفات توقيع الوظائف main هي EntryPointSignatures.sig و EntryPointSignatures.sig64

• يستخدم idenLib DIA APIs لتصفح معلومات التصحيح المخزنة في ملف PDB. لتشغيل idenLib باستخدام المعلمة -getmain ، ستحتاج إلى التأكد من أن MSDIA140.dll (الموجود في Microsoft Visual Studio2017CommunityDIA SDKbin ) مسجل كمكون COM ، من خلال استدعاء REGSVR32.EXE على DLL.

هناك طريقتان لتطبيق التواقيع ، المطابقة الدقيقة واستخدام Jaccard index

• معلومات مفصلة حول C Run-Time Libraries (CRT)

• Zydis (ترخيص MIT)

• Zstandard (ترخيص BSD)

• أيقونة فريبك