Главная страница>Связанные с программированием>С/С++
Скачать

Idenlib - Идентификация функции библиотеки

При анализе вредоносного программного обеспечения или стороннего программного обеспечения трудно определить статически связанные библиотеки и понять, что выполняет функция из библиотеки.

idenLib.exe - это инструмент для генерации подписей библиотеки из файлов .lib / .obj / .exe .

idenLib.dp32 / idenLib.dp64 - это плагин x32dbg / x64dbg для идентификации библиотечных функций.

idenLib.py - это плагин IDA Pro для идентификации библиотечных функций.

Любые отзывы высоко ценится: @_QAZ_QAZ

Как idenlib.exe генерирует подписи?

  1. Входной файл SACESES (файл .lib / .obj ), чтобы получить список адресов функций и имен функций.
  2. Получает последний OpCode из каждой инструкции

подводной

  1. Сжимает подпись с ZSTD

  2. Сохраняет подпись в каталоге SymEx , если входное имя файла является zlib.lib , вывод будет zlib.lib.sig или zlib.lib.sig64 , если zlib.lib.sig(64) уже существует в рамках каталога SymEx из предыдущего исполнения или из предыдущей версии библиотеки, следующее выполнение будет добавлять различные подписи. Если вы выполняете idenLib.exe несколько раз с различной версией файла .lib , файл .sig / sig64 будет включать все уникальные подписи функций.

Внутри подписи (сжата): подпись

Использование:

  • Сгенерировать подписи библиотеки: idenLib.exe /path/to/file или idenLib.exe /path/to/directory
  • Сгенерировать сигнатуру main функции: idenLib.exe /path/to/pe -getmain

Генерирование библиотечных подписей

либеральный

x32dbg / x64dbg , использование плагинов IDA Pro :

  1. Скопировать каталог SymEx в соответствии с x32dbg / x64dbg / IDA Pro в основном каталоге
  2. Применить подписи:

x32dbg / x64dbg :

XDB

IDA Pro :

IDA_BOOST_2

Создание сигнатуры main функции:

Если вы хотите генерировать подпись для main функции, скомпилированной с использованием MSVC 14 вам нужно создать приложение hello world с соответствующим компилятором и использовать приложение в качестве входных данных для idenLib

getmain

Файлы подписи main функции - это EntryPointSignatures.sig и EntryPointSignatures.sig64

Idapromain

x64dbg_main

Примечания относительно main подписей функции

  • idenLib использует DIA APIs для просмотра информации отладки, хранящейся в файле PDB. Чтобы запустить idenLib с параметрами -getmain вам нужно будет убедиться, что MSDIA140.DLL (найденный в Microsoft Visual Studio2017CommunityDIA SDKbin ) зарегистрировался в качестве компонента COM, вызывая regsvr32.exe на DLL.

Применение подписей

Есть два способа применения подписей, точного совпадения и использования Jaccard index

x32dbg_jaccard

Полезные ссылки:

  • Подробная информация о C Run-Time Libraries (CRT)

Третья сторона

  • Zydis (лицензия MIT)

  • Zstandard (лицензия BSD)

  • Икона от Freepik

Расширять
Дополнительная информация
Связанные приложения
Рекомендуем вам
Связанные новости Все