idenLib

在分析恶意软件或第三方软件时，要确定静态链接的库并了解库中的功能是一项挑战。

idenLib.exe是一种从.lib / .obj / .exe文件生成库签名的工具。

idenLib.dp32 / idenLib.dp64是x32dbg / x64dbg插件，用于识别库功能。

idenLib.py是一个IDA Pro插件，可识别库功能。

1. 解析输入文件（ .lib / .obj文件）获取功能地址和函数名称的列表。
2. 从每个说明中获取最后一个操作码

3. 用ZSTD压缩签名

4. 如果输入文件名是zlib.lib ，则保存在SymEx目录下的签名，则输出将为zlib.lib.sig或zlib.lib.sig64 ，如果zlib.lib.sig(64)已经存在于上一个执行或上一个库中的SymEx目录下的Symex Directory或下一个执行库，则下一个不同的spepend spepend spapend spapend spapend spepend spepend spepend spepend spepend。如果您使用不同版本的.lib文件执行idenLib.exe多次，则.sig / sig64文件将包含所有唯一的函数签名。

签名内部（被压缩）：

• 生成库签名： idenLib.exe /path/to/file或idenLib.exe /path/to/directory
• 生成main功能签名： idenLib.exe /path/to/pe -getmain

1. 在x32dbg / x64dbg / IDA Pro的主要目录中复制SymEx目录
2. 应用签名：

x32dbg / x64dbg ：

IDA Pro ：

如果要idenLib使用MSVC 14编译的main hello world生成签名

main功能签名文件是EntryPointSignatures.sig和EntryPointSignatures.sig64

• idenLib使用DIA APIs浏览存储在PDB文件中的调试信息。要使用-getmain参数运行idenLib ，您需要确保MSDIA140.DLL（在Microsoft Visual Studio2017CommunityDIA SDKbin中找到）通过调用DLL上的Regsvr32.exe来注册为COM组件。

有两种应用签名，精确匹配和使用Jaccard index方法

• 有关C Run-Time Libraries (CRT)的详细信息

• Zydis（麻省理工学院许可证）

• ZANTANDARD（BSD许可证）

• Freepik的图标