IDA使用-签名文件制作

0x1 签名文件制作的方法：

• 找到静态编译的程序库
• 使用IDA中的fair工具包，对静态库操作，生成特征库（IDA6.8 是flair68.zip）

0x2 步骤

第一步：使用pcf生成对应静态库的pat文件
第二步：使用sigmake,将pat文件转为sig文件
第三步：将sig文件放入IDA文件目录下的sig文件夹

Vs2013静态库目录：C:\Program Files (x86)\Microsoft Visual Studio 12.0\VC\lib

使用IDA中的fair工具包，对静态库操作，生成特征库（IDA6.8 是flair68.zip）

第一步：使用pcf生成对应静态库的pat文件

pcf 文件名 生成的文件名.pat

第二步：使用sigmake,将pat文件转为sig文件

sigmake pat文件 生成的sig文件.sig

将exc文件中的前4行删除

再次执行命令

sigmake pat文件 生成的sig文件.sig

以上只是单个文件的处理方法，为了方便还可以利用号匹配到所有的静态库、动态库文件，将它们全都转换成.pat

pcf *.lib 生成的文件名.pat

生成sig时，设置在IDA中的名称

sigmake -n“模块名” pat文件 生成的sig文件

第三步：将sig文件放入IDA文件目录下的sig文件夹

效果如下：

图1 可以分析出2026个函数