Page d'accueil>Lié à la programmation>C/C++
Télécharger

Faux

Outil pour la génération de PDB à partir de la base de données IDA Pro

Supports:

  • Ida> = 7,4

Télécharger

  • Windows AMD64

Comment installer

  • Ida
    • Copiez le contenu de binaries.zip/ida à <IDA_directory>/plugins

Comment utiliser

Il y a plusieurs fonctionnalités dans ce plugin:

Génération de fichiers PDB

  • Exécutable cible ouvert dans Ida
  • Edit -> FakePDB -> Generate .PDB file (ou Ctrl + Shift + 4 )
  • Obtenez un fichier PDB à partir du répertoire de la base de données IDA

Le PDB peut éventuellement inclure des symboles pour les étiquettes de fonction: utilisez Generate .PDB file (with function labels) (ou Ctrl + Shift + 5 ).

Génération de fichiers LIB

  • Exécutable cible ouvert dans Ida
  • Edit -> FakePDB -> Generate .LIB file
  • Obtenez un fichier lib à partir du répertoire de la base de données IDA

Exportation de la base de données IDA vers .json

  • Exécutable cible ouvert dans ida> = 7.0
  • Edit -> FakePDB -> Dump info to .json (ou Ctrl + Shift + 1 )
  • Il générera filename.json près du fichier .idb

Recherche de signature binaire

  • Exécutable cible ouvert dans ida> = 7.0
  • Définir le curseur au début de la fonction cible
  • Edit -> FakePDB -> Find signature (ou Ctrl + Shift + 2 )
  • La signature sera affichée dans la console IDA

Noms de fonction Importation du fichier .json

  • Exécutable cible ouvert dans ida> = 7.0
  • Edit -> FakePDB -> Import offset from .json (ou Ctrl + Shift + 3 )

Format de fichier requis: 

{
   "function_name_1" : " 0001:123456 " ,
   "function_name_2" : " 0001:254646 " ,
   "function_name_X" : " XXXX:YYYYYY " ,
   "function_name_Y" : " 0x0124567AF " ,
}

où:

  • XXXX : numéro de la section PE
  • YYYY : décalage du début de la section en chiffres décimaux
  • 0x0124567af: Adresse efficace d'Ida

FAIRE

  • Support Linux
  • Support de Ghidra
  • Prise en charge des arguments de fonction
  • IDA 9.0: Exportation des structures

Liens utiles

  • Désactiver la validation PDB dans Windbg http://ntcoder.com/bab/2012/03/06/how-to-force-symbol-loading-in-windbg/
  • Désactiver la validation PDB dans MSVS https://stackoverflow.com/questions/38147487/forcing-toload-unmatched-symbols-in-visual-studio-2015-debugger

Mentions

  • 2019, Google Project Zero: l'histoire des symboles Adobe Reader
  • 2021, Gerhart X.: Hyper-V débogage pour les débutants. 2e édition.
  • 2022, Google Cloud: Fuzzing Image Paring in Windows, partie quatrième: Plus de heif

Merci

Inspiré par:

  • pe_debug http://pefrm-units.osdn.jp/pe_debug.html

Basé sur:

  • LLVM Project https://llvm.org/
  • Lld Project https://lld.llvm.org/

Regardez également:

  • bao https://github.com/not-wlan/bao
Développer
Informations supplémentaires
Applications connexes
Recommandé pour vous
Actualités connexes Tout