FLIRTDB

La tecnología de identificación y reconocimiento de la biblioteca rápida, también conocida como Flirt, es el identificador de símbolos internos de Ida que busca binarios desmontados para localizar, cambiar el nombre y resaltar las subrutinas de biblioteca conocidas. Flirt elimina la necesidad de analizar las funciones que podrían entenderse simplemente leyendo documentación o código fuente de la biblioteca de la que proviene y reduce la cantidad de trabajo requerido para revertir y comprender binarios de símbolos en una cantidad considerable.

Para obtener más información, visite: https://www.hex-rays.com/products/ida/tech/flirt/index.shtml

Aquí hay un diagrama de simplificación excesiva en los trabajos internos de Flirt:

La entrada al sistema es un archivo de biblioteca (.lib en Windows) desde una biblioteca de elección, mientras que la salida es un archivo de firma (.sig) almacenado en /sig (y solo allí o de lo contrario, Ida no lo encontrará). Usando una de las herramientas (PLB/PCF/PELF) (proporcionadas aquí para pagar a los clientes), convierte todas las funciones en la biblioteca en firmas almacenadas en un archivo PAT (.pat). La etapa final en la creación de un archivo de firma implica convertir el archivo PAT generado en un archivo .sig utilizable por IDA con el uso de Sigmake. El problema con esto es que a veces existirán colisiones para firmas, ya que el método que usa los rayos hexadecimales no es infalible. Cuando se produce un error, se crea un archivo exc (.exc). Para ignorar las colisiones, simplemente edite este archivo eliminando los primeros comentarios (líneas que comienzan con ';') y vuelva a ejecutar Sigmake.

Para obtener más información, busque dentro del ReadMe dentro del directorio de herramientas de Flair.

Teniendo en cuenta el hecho de que hay innumerables bibliotecas (ambas de código abierto/cerrado) cada una con sus interminables compilaciones/versiones, es obvio que el equipo de rayos hexagonales no siempre puede proporcionarnos los archivos de firma que necesitamos. Debido a esto, he creado este repositorio con la esperanza de que sirviera como un centro para que los ingenieros inversos tomen archivos de firma (y con suerte también se cargan).

Cualquiera puede contribuir a este repositorio generando un archivo de firma para una versión específica de una biblioteca (¡o varias!) Y siguiendo las reglas bajo ética.

Debido al hecho de que hay varias bibliotecas/versiones para administrar, es un requisito que ordenemos toda la información de la manera más fácil posible para que las personas puedan encontrar lo que están buscando con facilidad. Simplemente siga las reglas a continuación y espero que todo funcione sin problemas:

1. Asegúrese de ignorar los nombres conflictivos cuando use Sigmake
2. Siempre envíe el archivo de firma, el archivo EXC (si hay firmas conflictivas) y también ese archivo de patrón
3. Organice su envío en la estructura de carpeta estándar (biblioteca/sistema operativo)
4. Agregue un nombre descriptivo a sus archivos de firma utilizando la opción -n en Sigmake (opcional)
5. Antes de comprometerse, asegúrese de que no se hayan enviado firmas para su biblioteca y versión
6. No envíe el archivo de la biblioteca en sí debido a los problemas de derechos de autor/redistribución
7. ¡Contribuir! Esto solo funcionará si trabajamos juntos

Michael Kiros