Beranda>Terkait pemrograman>C/C++
Unduh

IDENLIB - Identifikasi Fungsi Perpustakaan

Saat menganalisis malware atau perangkat lunak pihak ke -3, itu sulit untuk mengidentifikasi perpustakaan yang ditautkan secara statis dan untuk memahami apa fungsi dari perpustakaan.

idenLib.exe adalah alat untuk menghasilkan tanda tangan perpustakaan dari file .lib / .obj / .exe .

idenLib.dp32 / idenLib.dp64 adalah plugin x32dbg / x64dbg untuk mengidentifikasi fungsi pustaka.

idenLib.py adalah plugin IDA Pro untuk mengidentifikasi fungsi perpustakaan.

Umpan balik apa pun sangat dihargai: @_qaz_qaz

Bagaimana IDENLIB.EXE menghasilkan tanda tangan?

  1. File input parses (file .lib / .obj ) untuk mendapatkan daftar alamat fungsi dan nama fungsi.
  2. Mendapat opcode terakhir dari setiap instruksi

sig

  1. Mengompres tanda tangan dengan ZSTD

  2. Menghemat tanda tangan di bawah direktori SymEx , jika nama file input adalah zlib.lib , outputnya adalah zlib.lib.sig atau zlib.lib.sig64 , jika zlib.lib.sig(64) sudah ada di bawah direktori SymEx dari eksekusi sebelumnya atau dari versi perpustakaan sebelumnya, selanjutnya akan. Jika Anda menjalankan idenLib.exe beberapa kali dengan versi file .lib yang berbeda, file .sig / sig64 akan mencakup semua tanda tangan fungsi yang unik.

Di dalam tanda tangan (terkompresi): tanda tangan

Penggunaan:

  • Hasilkan tanda tangan perpustakaan: idenLib.exe /path/to/file atau idenLib.exe /path/to/directory
  • Hasilkan Tanda Tangan Fungsi main : idenLib.exe /path/to/pe -getmain

Menghasilkan tanda tangan perpustakaan

lib

x32dbg / x64dbg , Penggunaan Plugin IDA Pro :

  1. Salin Direktori SymEx di bawah direktori utama x32dbg / x64dbg / IDA Pro
  2. Terapkan tanda tangan:

x32dbg / x64dbg :

xdb

IDA Pro :

IDA_BOOST_2

Menghasilkan Tanda Tangan Fungsi main :

Jika Anda ingin menghasilkan tanda tangan untuk fungsi main yang dikompilasi menggunakan MSVC 14 Anda perlu membuat aplikasi hello world dengan kompiler yang sesuai dan menggunakan aplikasi sebagai input untuk idenLib

Getmain

File tanda tangan fungsi main adalah EntryPointSignatures.sig dan EntryPointSignatures.sig64

Idapromain

x64dbg_main

Catatan tentang tanda tangan fungsi main

  • idenLib menggunakan DIA APIs untuk menelusuri informasi debug yang disimpan dalam file PDB. Untuk menjalankan idenLib dengan parameter -getmain Anda perlu memastikan bahwa msdia140.dll (ditemukan di Microsoft Visual Studio2017CommunityDIA SDKbin ) terdaftar sebagai komponen COM, dengan memohon Regsvr32.exe pada DLL.

Menerapkan tanda tangan

Ada dua cara untuk menerapkan tanda tangan, kecocokan yang tepat dan menggunakan Jaccard index

X32DBG_JACCARD

Tautan yang berguna:

  • Informasi terperinci tentang C Run-Time Libraries (CRT)

Pihak ketiga

  • Zydis (Lisensi MIT)

  • ZStandard (lisensi BSD)

  • Ikon oleh Freepik

Memperluas
Informasi Tambahan
Aplikasi Terkait
Direkomendasikan untuk Anda
Informasi Terkait Semua