0x1 签名文件制作的方法:
- 找到静态编译的程序库
- 使用IDA中的fair工具包,对静态库操作,生成特征库(IDA6.8 是flair68.zip)
0x2 步骤
第一步:使用pcf生成对应静态库的pat文件
第二步:使用sigmake,将pat文件转为sig文件
第三步:将sig文件放入IDA文件目录下的sig文件夹
Vs2013静态库目录:C:Program Files (x86)Microsoft Visual Studio 12.0VClib
使用IDA中的fair工具包,对静态库操作,生成特征库(IDA6.8 是flair68.zip)
第一步:使用pcf生成对应静态库的pat文件
pcf 文件名 生成的文件名.pat
第二步:使用sigmake,将pat文件转为sig文件
sigmake pat文件 生成的sig文件.sig
将exc文件中的前4行删除
再次执行命令
sigmake pat文件 生成的sig文件.sig
以上只是单个文件的处理方法,为了方便还可以利用号匹配到所有的静态库、动态库文件,将它们全都转换成.pat
pcf *.lib 生成的文件名.pat
生成sig时,设置在IDA中的名称
sigmake -n“模块名” pat文件 生成的sig文件
第三步:将sig文件放入IDA文件目录下的sig文件夹
效果如下:
图1 可以分析出2026个函数