Page d'accueil>Lié à la programmation>C/C++
Télécharger

idenlib - Identification de la fonction de bibliothèque

Lors de l'analyse des logiciels malveillants ou des logiciels tiers, il est difficile d'identifier les bibliothèques liées statiquement et de comprendre ce que fait une fonction de la bibliothèque.

idenLib.exe est un outil pour générer des signatures de bibliothèque à partir de fichiers .lib / .obj / .exe .

idenLib.dp32 / idenLib.dp64 est un plugin x32dbg / x64dbg pour identifier les fonctions de bibliothèque.

idenLib.py est un plugin IDA Pro pour identifier les fonctions de bibliothèque.

Tous les commentaires sont grandement appréciés: @_qaz_qaz

Comment idenlib.exe génère-t-il des signatures?

  1. Analyse du fichier d'entrée (fichier .lib / .obj ) pour obtenir une liste d'adresses de fonction et de noms de fonction.
  2. Obtient le dernier opcode de chaque instruction

sig

  1. Comprime la signature avec ZSTD

  2. Enregistre la signature sous le répertoire SymEx , si le nom de fichier d'entrée est zlib.lib , la sortie sera zlib.lib.sig ou zlib.lib.sig64 , si zlib.lib.sig(64) existe déjà sous le répertoire SymEx à partir d'une exécution précédente ou à partir de la version précédente de la bibliothèque, la prochaine exécution va appuyer différentes signatures. Si vous exécutez plusieurs fois idenLib.exe avec une version différente du fichier .lib , le fichier .sig / sig64 inclura toutes les signatures de fonction uniques.

À l'intérieur d'une signature (il est comprimé): signature

Usage:

  • Générer des signatures de bibliothèque: idenLib.exe /path/to/file ou idenLib.exe /path/to/directory
  • Générer la signature de la fonction main : idenLib.exe /path/to/pe -getmain

Génération de signatures de bibliothèque

lib

x32dbg / x64dbg , utilisation du plugin IDA Pro :

  1. Copier le répertoire SymEx sous x32dbg / x64dbg / IDA Pro de répertoire
  2. Appliquer des signatures:

x32dbg / x64dbg :

xdb

IDA Pro :

ida_boost_2

Génération de signature de fonction main :

Si vous souhaitez générer une signature pour la fonction main compilée à l'aide de MSVC 14 vous devez créer une application hello world avec le compilateur correspondant et utiliser l'application comme entrée pour idenLib

getmain

Les fichiers de signature de la fonction main sont les EntryPointSignatures.sig EntryPointSignatures.sig64

Idapromaine

x64dbg_main

Notes concernant les signatures de fonction main

  • idenLib utilise les DIA APIs pour parcourir les informations de débogage stockées dans un fichier PDB. Pour exécuter idenLib avec le paramètre -getmain , vous devrez vous assurer que le MSDIA140.DLL (trouvé dans Microsoft Visual Studio2017CommunityDIA SDKbin ) est enregistré en tant que composant COM, en invoquant RegSVR32.exe sur la DLL.

Appliquer des signatures

Il existe deux façons d'appliquer des signatures, une correspondance exacte et l'utilisation Jaccard index

x32dbg_jaccard

Liens utiles:

  • Informations détaillées sur C Run-Time Libraries (CRT)

Tierce personne

  • Zydis (licence MIT)

  • Zstandard (licence BSD)

  • Icône par freepik

Développer
Informations supplémentaires
Applications connexes
Recommandé pour vous
Actualités connexes Tout