idenLib
1.0.0
在分析惡意軟件或第三方軟件時,要確定靜態鏈接的庫並了解庫中的功能是一項挑戰。
idenLib.exe是一種從.lib / .obj / .exe文件生成庫簽名的工具。
idenLib.dp32 / idenLib.dp64是x32dbg / x64dbg插件,用於識別庫功能。
idenLib.py是一個IDA Pro插件,可識別庫功能。
.lib / .obj文件)獲取功能地址和函數名稱的列表。
用ZSTD壓縮簽名
如果輸入文件名是zlib.lib ,則保存在SymEx目錄下的簽名,則輸出將為zlib.lib.sig或zlib.lib.sig64 ,如果zlib.lib.sig(64)已經存在於上一個執行或上一個庫中的SymEx目錄下的Symex Directory或下一個執行庫,則下一個不同的spepend spepend spapend spapend spapend spepend spepend spepend spepend spepend。如果您使用不同版本的.lib文件執行idenLib.exe多次,則.sig / sig64文件將包含所有唯一的函數簽名。
簽名內部(被壓縮): 
idenLib.exe /path/to/file或idenLib.exe /path/to/directorymain功能簽名: idenLib.exe /path/to/pe -getmain 
x32dbg / x64dbg , IDA Pro插件用法:x32dbg / x64dbg / IDA Pro的主要目錄中復制SymEx目錄 x32dbg / x64dbg :
IDA Pro :
main功能簽名:如果要idenLib使用MSVC 14編譯的main hello world生成簽名
main功能簽名文件是EntryPointSignatures.sig和EntryPointSignatures.sig64
main功能簽名的註釋idenLib使用DIA APIs瀏覽存儲在PDB文件中的調試信息。要使用-getmain參數運行idenLib ,您需要確保MSDIA140.DLL(在Microsoft Visual Studio2017CommunityDIA SDKbin中找到)通過調用DLL上的Regsvr32.exe來註冊為COM組件。 有兩種應用簽名,精確匹配和使用Jaccard index方法
C Run-Time Libraries (CRT)的詳細信息Zydis(麻省理工學院許可證)
ZANTANDARD(BSD許可證)
Freepik的圖標
