Página Inicial>Relacionado com a programação>C/C++
Baixar

Idenlib - Identificação da função da biblioteca

Ao analisar malware ou software de terceiros, é difícil identificar bibliotecas vinculadas estaticamente e entender o que está fazendo uma função da biblioteca.

idenLib.exe é uma ferramenta para gerar assinaturas de bibliotecas a partir de arquivos .lib / .obj / .exe .

idenLib.dp32 / idenLib.dp64 é um plugin x32dbg / x64dbg para identificar funções da biblioteca.

idenLib.py é um plug -in IDA Pro para identificar funções da biblioteca.

Qualquer feedback é muito apreciado: @_qaz_qaz

Como o idenlib.exe gera assinaturas?

  1. Palésia Arquivo de entrada (arquivo .lib / .obj ) para obter uma lista de endereços de função e nomes de funções.
  2. Recebe o último código de opção de cada instrução

sig

  1. Comprime a assinatura com ZSTD

  2. Salva a assinatura no diretório SymEx , se o nome do arquivo de entrada for zlib.lib , a saída será zlib.lib.sig ou zlib.lib.sig64 , se zlib.lib.sig(64) já existirá no diretório SymEx da exposição anterior ou da versão anterior da biblioteca, o seguinte execução, o signo da versão anterior. Se você executar idenLib.exe várias vezes com uma versão diferente do arquivo .lib , o arquivo .sig / sig64 incluirá todas as assinaturas de função exclusivas.

Dentro de uma assinatura (é comprimida): assinatura

Uso:

  • Gere assinaturas da biblioteca: idenLib.exe /path/to/file ou idenLib.exe /path/to/directory
  • Gerar assinatura da função main : idenLib.exe /path/to/pe -getmain

Gerando assinaturas de biblioteca

lib

x32dbg / x64dbg , Uso do plug -in IDA Pro :

  1. Copie o diretório SymEx sob o diretório principal x32dbg / x64dbg / IDA Pro
  2. Aplicar assinaturas:

x32dbg / x64dbg :

XDB

IDA Pro :

Ida_boost_2

Gerando a assinatura da função main :

Se você deseja gerar uma assinatura para a função main compilada usando MSVC 14 você precisa criar um aplicativo hello world com o compilador correspondente e usar o aplicativo como entrada para idenLib

getmain

Os main arquivos de assinatura da função são as EntryPointSignatures.sig EntryPointSignatures.sig64 .

IDAPROMAIN

x64dbg_main

Notas sobre as main assinaturas de função

  • idenLib usa as DIA APIs para navegar nas informações de depuração armazenadas em um arquivo PDB. Para executar idenLib com o parâmetro -getmain , você precisará garantir que o MSDIA140.DLL (encontrado no Microsoft Visual Studio2017CommunityDIA SDKbin ) seja registrado como um componente da COM, invocando RegSvr32.exe na DLL.

Aplicando assinaturas

Existem duas maneiras de aplicar assinaturas, correspondência exata e uso Jaccard index

x32dbg_jaccard

Links úteis:

  • Informações detalhadas sobre C Run-Time Libraries (CRT)

Terceiro

  • Zydis (MIT Licença)

  • Zstandard (licença BSD)

  • Ícone de Freepik

Expandir
Informações adicionais
Aplicativos Relacionados
Recomendado para você
Informações Relacionadas Todos