Inicio>Relacionado con la programación>C/C++
Descargar

Idenlib - Identificación de la función de biblioteca

Al analizar el software de malware o terceros, es difícil identificar bibliotecas estáticamente vinculadas y comprender qué está haciendo una función de la biblioteca.

idenLib.exe es una herramienta para generar firmas de biblioteca a partir de archivos .lib / .obj / .exe .

idenLib.dp32 / idenLib.dp64 es un complemento x32dbg / x64dbg para identificar funciones de la biblioteca.

idenLib.py es un complemento IDA Pro para identificar las funciones de la biblioteca.

Se agradece mucho cualquier comentario: @_qaz_qaz

¿Cómo genera Idenlib.exe firmas?

  1. El archivo de entrada analiza (archivo .lib / .obj ) para obtener una lista de direcciones de funciones y nombres de funciones.
  2. Obtiene el último código de operación de cada instrucción

signo

  1. Comprime la firma con ZSTD

  2. Guarda la firma en el directorio SymEx , si el nombre de archivo de entrada es zlib.lib , la salida será zlib.lib.sig o zlib.lib.sig64 , si zlib.lib.sig(64) ya existe en el directorio SymEx de una ejecución anterior o de la versión anterior de la biblioteca, la próxima ejecución se aplicará diferentes firmas. Si ejecuta idenLib.exe varias veces con una versión diferente del archivo .lib , el archivo .sig / sig64 incluirá todas las firmas de funciones únicas.

Dentro de una firma (está comprimida): firma

Uso:

  • Generar firmas de biblioteca: idenLib.exe /path/to/file o idenLib.exe /path/to/directory
  • Genere la firma de la función main : idenLib.exe /path/to/pe -getmain

Generando firmas de biblioteca

lib

x32dbg / x64dbg , Uso del complemento IDA Pro :

  1. Copiar el directorio SymEx en el directorio principal x32dbg / x64dbg / IDA Pro
  2. Aplicar firmas:

x32dbg / x64dbg :

xdb

IDA Pro :

ida_boost_2

Generación de la firma de la función main :

Si desea generar una firma para la función main compilada con MSVC 14 , debe crear una aplicación hello world con el compilador correspondiente y usar la aplicación como entrada para idenLib

GetMain

Los archivos de firma de la función main son EntryPointSignatures.sig EntryPointSignatures.sig64

Idapromain

x64dbg_main

Notas sobre las firmas de la función main

  • idenLib utiliza las DIA APIs para navegar por la información de depuración almacenada en un archivo PDB. Para ejecutar idenLib con el parámetro -getmain , deberá asegurarse de que el msdia140.dll (que se encuentra en Microsoft Visual Studio2017CommunityDIA SDKbin ) se registre como un componente COM, invocando regsvr32.exe en el DLL.

Aplicación de firmas

Hay dos formas de aplicar firmas, coincidencia exacta y usar Jaccard index

x32dbg_jaccard

Enlaces útiles:

  • Información detallada sobre C Run-Time Libraries (CRT)

Tercero

  • Zydis (licencia del MIT)

  • ZSTANDARD (Licencia BSD)

  • Icono de Freepik

Expandir
Información adicional
Aplicaciones relacionadas
Recomendado para ti
Información relacionada Todo