Startseite>Programmierbezogen>C/C++
Herunterladen

IDenlib - Bibliotheksfunktion Identifikation

Bei der Analyse von Malware- oder Drittanbieter -Software ist es schwierig, staatlich verknüpfte Bibliotheken zu identifizieren und zu verstehen, was eine Funktion aus der Bibliothek macht.

idenLib.exe ist ein Tool zum Generieren von Bibliothekssignaturen aus .lib / .obj / .exe -Dateien.

idenLib.dp32 / idenLib.dp64 ist ein x32dbg / x64dbg -Plugin, um Bibliotheksfunktionen zu identifizieren.

idenLib.py ist ein IDA Pro -Plugin, um Bibliotheksfunktionen zu identifizieren.

Jedes Feedback wird sehr geschätzt: @_qaz_qaz

Wie generiert Idenlib.exe Signaturen?

  1. Parses Eingabedatei ( .lib / .obj -Datei), um eine Liste von Funktionadressen und Funktionsnamen zu erhalten.
  2. Erhält den letzten Opcode von jeder Anweisung

Sig

  1. Komprimiert die Signatur mit ZSTD

  2. Speichern Sie die Signatur im SymEx -Verzeichnis, wenn der Eingabedatemame zlib.lib ist, ist die Ausgabe zlib.lib.sig oder zlib.lib.sig64 , wenn zlib.lib.sig(64) bereits unter dem SymEx aus einer vorherigen Ausführung oder aus der vorherigen Version der Vorgängerversion der Bibliothek vorhanden ist. Wenn Sie idenLib.exe mehrmals mit einer anderen Version der .lib -Datei ausführen, enthält die Datei .sig / sig64 alle eindeutigen Funktionssignaturen.

Innerhalb einer Signatur (sie ist komprimiert): Unterschrift

Verwendung:

  • Generieren Sie Bibliothekssignaturen: idenLib.exe /path/to/file oder idenLib.exe /path/to/directory
  • Generieren Sie die main Signatur: idenLib.exe /path/to/pe -getmain

Erzeugen von Bibliothekssignaturen

lib

x32dbg / x64dbg , IDA Pro -Plugin -Verwendung:

  1. Kopieren Sie SymEx -Verzeichnis unter x32dbg / x64dbg / IDA Pro Hauptverzeichnis von's
  2. Signaturen anwenden:

x32dbg / x64dbg :

XDB

IDA Pro :

IDA_BOOST_2

Generierung der main :

Wenn idenLib eine Signatur für die mit MSVC 14 zusammengestellte main generieren hello world

GetMain

main Signaturdateien sind EntryPointSignatures.sig EntryPointSignatures.sig64

Idapromain

x64dbg_main

Anmerkungen zu den main

  • idenLib verwendet die DIA APIs um Debug -Informationen zu durchsuchen, die in einer PDB -Datei gespeichert sind. Um idenLib mit -getmain -Parameter auszuführen, müssen Sie sicherstellen, dass die MSDIA140.dll (gefunden in Microsoft Visual Studio2017CommunityDIA SDKbin ) als COM -Komponente registriert wird, indem Regsvr32.exe auf der DLL aufgerufen wird.

Signaturen anwenden

Es gibt zwei Möglichkeiten, Signaturen, exakte Übereinstimmung und Jaccard index anzuwenden,

X32DBG_JACCARD

Nützliche Links:

  • Detaillierte Informationen zu C Run-Time Libraries (CRT)

Dritte Seite

  • Zydis (MIT -Lizenz)

  • ZStandard (BSD -Lizenz)

  • Ikone von Freepik

Expandieren
Zusätzliche Informationen
Ähnliche Anwendungen
Empfohlen für Sie
Ähnliche Nachrichten Alle