idenLib

เมื่อวิเคราะห์มัลแวร์หรือซอฟต์แวร์บุคคลที่สามมันเป็นเรื่องยากที่จะระบุไลบรารีที่เชื่อมโยงแบบคงที่และเพื่อทำความเข้าใจว่าฟังก์ชั่นจากไลบรารีกำลังทำอะไร

idenLib.exe เป็นเครื่องมือในการสร้างลายเซ็นไลบรารีจากไฟล์. .lib / .obj / .exe

idenLib.dp32 / idenLib.dp64 เป็นปลั๊กอิน x32dbg / x64dbg เพื่อระบุฟังก์ชั่นไลบรารี

idenLib.py เป็นปลั๊กอิน IDA Pro เพื่อระบุฟังก์ชั่นไลบรารี

1. Parses Input File ( .lib / .obj ไฟล์) เพื่อรับรายการที่อยู่ฟังก์ชันและชื่อฟังก์ชัน
2. รับ opcode ล่าสุดจากแต่ละคำสั่ง

3. บีบอัดลายเซ็นด้วย zstd

4. บันทึกลายเซ็นภายใต้ไดเรกทอรี SymEx หากชื่อไฟล์อินพุตคือ zlib.lib เอาต์พุตจะเป็น zlib.lib.sig หรือ zlib.lib.sig64 ถ้า zlib.lib.sig(64) อยู่ภายใต้ไดเรกทอรี SymEx หากคุณเรียกใช้งาน idenLib.exe หลายครั้งด้วยไฟล์ .lib เวอร์ชันต่าง ๆ ไฟล์. .sig / sig64 จะรวมลายเซ็นฟังก์ชั่นที่ไม่ซ้ำกันทั้งหมด

ภายในลายเซ็น (ถูกบีบอัด):

• สร้างลายเซ็นไลบรารี: idenLib.exe /path/to/file หรือ idenLib.exe /path/to/directory
• สร้างลายเซ็นฟังก์ชั่น main : idenLib.exe /path/to/pe -getmain

1. คัดลอกไดเรกทอรี SymEx ภายใต้ x32dbg / x64dbg / IDA Pro DIRECTORY หลัก
2. สมัครลายเซ็น:

x32dbg / x64dbg :

IDA Pro :

หากคุณต้องการสร้างลายเซ็นสำหรับฟังก์ชั่น main ที่รวบรวมโดยใช้ MSVC 14 คุณต้องสร้างแอปพลิเคชัน hello world ด้วยคอมไพเลอร์ที่เกี่ยวข้องและใช้แอปพลิเคชันเป็นอินพุตสำหรับ idenLib

ไฟล์ลายเซ็นฟังก์ชั่น main คือ EntryPointSignatures.sig และ EntryPointSignatures.sig64

• idenLib ใช้ DIA APIs เพื่อเรียกดูข้อมูลการดีบักที่เก็บไว้ในไฟล์ PDB ในการเรียกใช้ idenLib ด้วยพารามิเตอร์ -getmain คุณจะต้องตรวจสอบให้แน่ใจว่า MSDIA140.dll (พบใน Microsoft Visual Studio2017CommunityDIA SDKbin ) ได้รับการลงทะเบียนเป็นองค์ประกอบ Com

มีสองวิธีในการใช้ลายเซ็นการจับคู่ที่แน่นอนและการใช้ Jaccard index

• ข้อมูลรายละเอียดเกี่ยวกับ C Run-Time Libraries (CRT)

• Zydis (ใบอนุญาต MIT)

• Zstandard (ใบอนุญาต BSD)

• ไอคอนโดย freepik