【加密与解密】第三章⑤

FLIRT

这是一项用于库文件快速识别与鉴定技术。可以使IDA在一系列编译器的标准库文件中自动找出调用的函数。

1.应用FLIRT签名

一般反汇编软件对于各种开发库无能为力，只能给反汇编结果，无法给出库函数名称。而FLIRT可以在反汇编结果正确标示调用的库函数名称。同样许多反汇编器都有类似的函数注解功能，但都局限于DLL的输出函数。ida尽可能包括了更多的开发库。IDA通常可以识别一些编译器，但不一定成功。如果是FLIRT没有自动识别出来，就可以强制使用编译器特征文件。

2.创建FLIRT签名文件

为了方便用户自行制作识别库签名文件，IDA提供FLIRT数据库生成工具FLAIR。创建步骤如下。

IDC脚本

IDA集成了一个脚本引擎，可以让用户从编程角度对IDA操作进行全面控制。脚本的存在极大提高了IDA的可扩展性，使IDA许多重复的任务可以由脚本来完成。IDA支持两种语言编写脚本，分别是IDC和Python。IDA的嵌入式脚本语言叫做IDC，是一种类C语言。
书中给出两个实例，但是pdf文件看不到，具体可以看书。

插件

IDC适用于小型任务和快速开发工作，但它不支持复杂的数据类型和一些复杂的任务。IDA提供了插件功能，可以完成一些基本功能。可以到这些地方下载。

1.插件的安装

直接把插件模块复制到IDA的plugins目录。要注意好IDA版本。

2.Hex-rays decompiler插件

这个插件是一款讲二进制文件直接反编译成高级语言的插件，功能很强大。
这也是个商业插件捆绑再IDA中，通过如下方式打开。