English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thủ thuật reverse engineering Cách thức tạo IDA FLIRT Signatures của IDA  XML
  [Question]   Cách thức tạo IDA FLIRT Signatures của IDA 17/11/2011 17:19:08 (+0700) | #1 | 250048
[Avatar]
 computerline
Member
[Minus]    0    [Plus]
Joined: 30/03/2007 13:46:50
Messages: 144
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!]
Mình đang tìm hiểu về IDA, mình đã đọc phần Library Recognition Using FLIRT Signatures trong cuốn The IDA Pro Book: The Unofficial Guide to the World's Most Popular Disassembler của Chris Eagle nhưng mình còn một số chỗ chưa nắm vững, vì vậy mình tạo topic này mong các bạn nào có kinh nghiệm làm việc với IDA tham gia thảo luận, có lẽ cũng giúp mình và những bạn nào đang tìm hiểu về IDA có cơ hội bổ xung thêm kiến thức, và kinh nghiệm.

Mình muốn thảo luận về một số vấn đề sau:
  • Mục đích của FLIRT Signatures
  • Cách thức tạo FLIRT Signatures (Công cụ FLAIR, RE-SIGS, IDB2Sig, Advanced obj and lib IDA signature ripper, IDA2PAT, ..., những kinh nghiệm sử dụng các công cụ này, đánh giá)
  • Vấn đề về Collistion khi tạo FLIRT Signatures
  • Kinh nghiệm của các đàn anh khi tạo FLIRT Signatures (phương pháp nhận diện thư viện).
  • Cách thức Apply các Signatures này khi phân tích ứng dụng


p/s : các bạn cho mình hỏi là IDA có khi nào nhận diện sai Signature không ?

Xin cảm các bạn !
Không có nghề gì trong xã hội là thấp hèn cả - chỉ có nhân cách mới phân biệt thấp cao
[Up] [Print Copy]
  [Question]   Cách thức tạo IDA FLIRT Signatures của IDA 21/02/2012 07:05:36 (+0700) | #2 | 254705
[Avatar]
 quygia128
Member
[Minus]    0    [Plus]
Joined: 15/07/2009 20:50:28
Messages: 119
Location: Somewhere
Offline
[Profile] [PM] [WWW]

computerline wrote:

Mình muốn thảo luận về một số vấn đề sau:
  • Mục đích của FLIRT Signatures
  • Cách thức tạo FLIRT Signatures (Công cụ FLAIR, RE-SIGS, IDB2Sig, Advanced obj and lib IDA signature ripper, IDA2PAT, ..., những kinh nghiệm sử dụng các công cụ này, đánh giá)
  • Vấn đề về Collistion khi tạo FLIRT Signatures
  • Kinh nghiệm của các đàn anh khi tạo FLIRT Signatures (phương pháp nhận diện thư viện).
  • Cách thức Apply các Signatures này khi phân tích ứng dụng


 


Vô tình đọc được thread này smilie

- Mục đích của FLIRT là giúp nhận dạng hàm chức năng của các thư viện khác nhau.
- Cách thức apply (có phải bác nhắc đến cách load sig ?) Nếu thế thì bác chỉ việc chọn biểu tượng Bông hoa màu đỏ ( Hoặc menu File -> Load file --> chọn FLIRT signature..) rồi chọn sig phù hợp với target load vào IDA thôi.
- Kinh nghiệm thì em không dám vì chỉ dùng của người ta làm sẵn và chỉ apply vào sau đó tạp file .Map mang sang Olly xử thôi smilie ( cái này chắc ai cũng biết rồi)
- Còn 3 câu hỏi còn lại chắc phải nhờ đến các anh trên diễn đàn rồi smilie

Tìm và đọc bài viết của anh TQN và anh Kienmanowar trong REA ( Chỉ tiếc là ở REA bây giờ không down được các attach cũ để xem). Trong quyển Sổ tay Cracker v1.0 có bài viết về IDA và có đề cập đến FLIRT sig.

Sẵn tiện đây cho em hỏi luôn 1 vấn đề cũng liên quan đến FLIRT Sig luôn:

Chắc ai đang sử dụng Olly cũng đã từng dùng qua Olly Plugins "ida_sig" của tác giả diablo2oo2. Nhưng có 1 vấn đề là khi chọn đường dẫn cho IDA Signatures và dumsig.exe xong, chọn Sig trong danh sách sau đó Nhấp vào Apply Signatures thì lại hiện ở status list là "0 signatures applied"
Anh nào có kinh nghiệm thì xin chia sẽ về vấn đề này nhé, em không biết phải làm thế nào mới đúng nữa. Em xin cảm ơn trước.
.::Mới bắt đầu trên con đường dài::.
.::Super Newbiez::.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|