ida符号恢复

发表于 更新于 分类于 Valine: 本文字数: 560 阅读时长 ≈ 1 分钟

ida符号恢复

0x00-前言

有时候我们在ida中反编译时遇到很多以地址命名的函数,而这些函数实际上是系统函数,当符号表被去除时,函数就会以函数地址命名,但是去除的只是函数的名称,我们可以通过其他方法还原,所以我们可以通过.sig文件来恢复符号,当然还有其他方法

0x01-恢复符号

Finger

符号识别神器

https://github.com/aliyunav/Finger

按照里面的介绍安装即可

恢复前

恢复后

只能说太强了

使用lscan和flair

lscan

lscan可以扫描sig文件,找到与二进制文件最相似的库

https://github.com/maroueneboubakri/lscan

1
python ./lscan.py -S .sig的目录 -f 要扫描的二进制文件

这里我使用的是python2

也可以自己下载sig文件

https://github.com/push0ebp/sig-database

flair

ida加载sig文件的工具

使用方法看下面的博客吧,我自己试的时候没找到对应的

https://blog.csdn.net/Breeze_CAT/article/details/103788796

0x02-去除符号

https://cloud.tencent.com/developer/article/1839671