Inicio>Relacionado con la programación>C/C++
Descargar

Falsepdb

Herramienta para la generación de PDB de la base de datos IDA Pro

Soporte:

  • Ida> = 7.4

Descargar

  • Windows AMD64

Cómo instalar

  • IDA
    • Copiar contenido de binaries.zip/ida a <IDA_directory>/plugins

Cómo usar

Hay varias características en este complemento:

Generación de archivos PDB

  • Abra el ejecutable de destino en IDA
  • Edit -> FakePDB -> Generate .PDB file (o Ctrl + Shift + 4 )
  • Obtenga el archivo PDB del directorio de la base de datos IDA

El PDB puede incluir opcionalmente símbolos para etiquetas de funciones: use Generate .PDB file (with function labels) (o Ctrl + Shift + 5 ).

Generación de archivos lib

  • Abra el ejecutable de destino en IDA
  • Edit -> FakePDB -> Generate .LIB file
  • Obtenga el archivo LIB del directorio de la base de datos IDA

Exportación de base de datos de IDA a .json

  • Abra el ejecutable de destino en IDA> = 7.0
  • Edit -> FakePDB -> Dump info to .json (o Ctrl + Shift + 1 )
  • generará filename.json cerca del archivo .idb

Búsqueda de firma binaria

  • Abra el ejecutable de destino en IDA> = 7.0
  • Establezca el cursor en el inicio de la función de destino
  • Edit -> FakePDB -> Find signature (o Ctrl + Shift + 2 )
  • La firma se mostrará en la consola de Ida

Los nombres de funciones importan desde el archivo .json

  • Abra el ejecutable de destino en IDA> = 7.0
  • Edit -> FakePDB -> Import offset from .json (o Ctrl + Shift + 3 )

Formato de archivo requerido: 

{
   "function_name_1" : " 0001:123456 " ,
   "function_name_2" : " 0001:254646 " ,
   "function_name_X" : " XXXX:YYYYYY " ,
   "function_name_Y" : " 0x0124567AF " ,
}

dónde:

  • XXXX : número de la sección PE
  • YYYY : compensación desde el comienzo de la sección en números decimales
  • 0x0124567AF: dirección efectiva de IDA

HACER

  • Soporte de Linux
  • Apoyo de Ghidra
  • Los argumentos de la función son compatibles
  • IDA 9.0: Exportación de estructuras

Enlaces útiles

  • Desactive la validación de PDB en Windbg http://ntcoder.com/bab/2012/03/06/how-to-force-symbol-loading-in-windbg/
  • Desactive la validación de PDB en MSVS https://stackoverflow.com/questions/38147487/forcing-to-load-unmatched-symbols-in-visual-studio-2015-desbugger

Menciones

  • 2019, Google Project Zero: La historia de los símbolos de Adobe Reader
  • 2021, Gerhart X.: Depuración de Hyper-V para principiantes. 2ª edición.
  • 2022, Google Cloud: Fuzzing Image Analing en Windows, Cuatro Parte: Más Heif

Gracias

Inspirado por:

  • pe_debug http://pefrm-units.osdn.jp/pe_debug.html

Residencia en:

  • Proyecto LLVM https://llvm.org/
  • Proyecto LLD https://lld.llvm.org/

También mira:

  • bao https://github.com/not-wlan/bao
Expandir
Información adicional
Aplicaciones relacionadas
Recomendado para ti
Información relacionada Todo