Kérdés:
IDA pro és alapértelmezett windows (lib) funkciók
n00b
2013-06-19 16:45:03 UTC
view on stackexchange narkive permalink

Miért nem tudja az IDA Pro sikeresen meghatározni, hogy mely függvényeket hívják meg a belső funkciók sikeres szétszerelése után?

Például olyan statikusan összekapcsolt függvények, mint a printf () , a memcpy () , a memset () felismerése nem megfelelő. Van egy plugin / megoldás a probléma megoldására?

Egy válasz:
Jason Geffner
2013-06-19 19:16:32 UTC
view on stackexchange narkive permalink

Az IDA felismeri a standard könyvtárfunkciókat az IDA FLIRT könyvtárai alapján. Ha az IDA nem észleli a szétszerelés során statikusan összekapcsolt szabványos könyvtárfunkciókat, akkor valószínűleg azért, mert

  1. nincs betöltve a megfelelő FLIRT könyvtár, vagy
  2. az IDA nem ' nincs FLIRT könyvtár a fordító számára, amely létrehozta a bináris fájlokat (az IDA natív módon támogatja ezeket a fordítókat)

Az # 1 megoldhatja úgy, hogy megnyitja a Type Libraries alnézetet az IDA-ban ( View -> Openview subviews -> Type könyvtárak ), majd nyomja meg a Ins gombot, és válassza ki a megfelelő fordítót.

Alternatív megoldásként a FLAIR használatával megoldhatja saját FLIRT könyvtárát a helyes fordító számára.

köszönöm a gyors választ, így lehetséges, hogy a fordító nem ismeri fel a fordítót helyesen, és meg kell határoznunk az igaz FLIRT-t.
Az 1. számú megoldásnál ez azt jelenti, hogy el kell távolítania a már betöltött könyvtárakat, és helyette ki kell választania a „helyes” könyvtárat? Az IDA észleli a vs6win könyvtárat, amelyet a lefejtett projektemben használnának, ezért arra gondoltam, hogy ezt el kell-e távolítanom az alternatíva kiválasztása mellett.
Ez nekem nem ment be, külön kérdésre tettem közzé részleteket, ha érdekel titeket: http://reverseengineering.stackexchange.com/questions/6649/ida-pro-hex-rays-flirt-signatures-and-standard -könyvtár-funkció-észlelés


Ezt a kérdést és választ automatikusan lefordították angol nyelvről.Az eredeti tartalom elérhető a stackexchange oldalon, amelyet köszönünk az cc by-sa 3.0 licencért, amely alatt terjesztik.
Loading...