Перейти к содержанию
  • записей
    100
  • комментариев
    110
  • просмотров
    6 597

[IDA/GHIDRA/radare2] Немного о сигнатурных модулях и FLIRT

Авторизация  
partoftheworlD

131 просмотр

Начнем с FLIRT(Fast Library Identification and Recognition Technology).
Суть технологии проста - экономия времени, вместо ручного восстановления библиотечных функций, используются сигнатурные файлы сгенерированные из статических библиотек с помощью утилит, которые идут в комплексе с IDA SDK, которые по ходу анализа переименовывают функции найденный с помощью сигнатур.
Сигнатурный файлы выглядит так:

image.thumb.png.022db535d3275098e78fafec5126c4bd.png

 

Например, мы знаем, что игра X использует Lua для выполнения скриптов, но сама длл луа вшита в файл, а не идет в комплексе рядом с ним, из-за чего мы не можем увидеть импортируемые функции, а значит придется потратить кучу времени, чтобы вручную по исходникам восстановить их. И тут на помощь приходит FLIRT, подключаем сигнатурный модуль в процесс анализа


image.png.c33625d0a74d56ad4cecf30579f8f99f.png

и буквально через пару секунд функции начинаются помечаться как библиотечные и подписываться. Пока IDA работает, реверсер отдыхает.
image.png

 

У GHIDRA есть подобный функционал, но называется Function ID. И чтобы базы для гидры не генерировать руками, есть готовый скрипт, но для начала совету прочитать статью автора, чтобы не было вопросов по использованию скрипта:
https://blog.threatrack.de/2019/09/20/ghidra-fid-generator/

  • Плюс 1
Авторизация  


1 Комментарий


Рекомендуемые комментарии

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×

Важная информация

Находясь на нашем сайте, Вы автоматически соглашаетесь соблюдать наши Условия использования.