IDA FLIRT使用

IDA FLIRT/FLAIR

  FLIRT是IDA提供的一种函数识别技术,即库文件快速识别与鉴定技术(Fast Library Identification and Recognition Technology)。这项技术使IDA能在一系列编译器的标准库文件里自动找出调用的函数,使反汇编清单清晰明了。比如说一个MFC库函数,反汇编出来可能就是call 40a936,但是IDA可以通过FLIRT识别函数特征,从而标记该函数,并在反汇编窗口中显示为call CWnd::DestroyWindow,大大增加了代码的可读性,加快分析速度。

  FLIRT技术需要使用到IDA提供的一种sig签名文件,这是IDA进行函数识别的关键。IDA安装包中携带很多常用的开发库的相关签名文件,比如MFCOWLBCL等。部分SIG文件如图:

  但是如果分析的程序中使用的库在IDA中并没有相应的SIG的话,该怎么办呢?这个时候就可以使用FLAIR工具了,这个工具可用于生成FLIRT数据库,即自己制作一个相应的SIG文件。

  下面先看一下如何使用已有的SIG文件识别库函数,之后再看下如何对未包含的库进行SIG文件生成。

一、使用已有的SIG文件识别函数

  有时候IDA对于可支持的库函数并未自动识别,这个时候就需要手动添加SIG文件,强制识别相关的函数。比如下面这种情况:

  之后看字符串窗口看到MFC库函数相关字符串,或者熟悉相关函数的话肉眼识别以下属于什么库函数。

  那就加入手动SIG文件(shift+f5),签名窗口中可以查看已使用的SIG签名文件和已识别的函数(#func)。添加之后,反汇编窗口中成功识别大部分的MFC函数,从而大大增加了程序分析效率。

二、生成SIG文件

  除了使用已有的SIG文件,IDA还提供了工具FLAIR,便于用户自行制作识别库文件。该工具单独发布。

  创建签名的步骤如下:

  1. 获得一个需要创建签名文件的静态库*.lib

  2. 用FLAIR解析器为该库创建一个模式文件(.pat)。模式文件是一个文本文件,包含提取出来的表示被解析库中的函数的模式。

    • plb.exe:OMF库的解析器(Borland编译器常用)。

    • pcf.exe:COFF库的解析器(微软编译器常用)。

    • pelf.exe:ELF库的解析器(UNIX系统常用)。

    • ppsx.exe:Sony PlayStation PSX库的解析器。

    • ptmobj.exe:TriMedia库的解析器。

    • pomf166.exe:Kiel OMF 166对象文件的解析器。

    如果要为某个库创建一个模式文件,需要指定与库的格式对应的解析器。如果没有LIB相应的静态库文件,可以使用IDB2PAT创建将.LIB文件转为.PAT文件。

  3. 用sigmake.exe将.PAT文件转为*.sig签名文件,之后就可以使用该文件。

  现在进行实际操作。比如在分析勒索病毒的时候,一些家族的病毒会使用CryptoPP加密库进行数据加密,而IDA并无相关签名文件,那么就可以自己制作一个SIG文件。

  在Github上下载项目,VS编译出静态库Cryptlib.lib(如果是其他已有的lib库可以直接使用)。在编译的时候一定要选择debug方式进行编译,因为生成PAT文件时,解析器主要是根据符号进行分析的,如果是release版本,由于被去除了符号,解析器将无法识别,并跳过相关函数。

lib -> PAT

  执行以下命令(这里windows平台选择pcf.exe):

pcf.exe Cryptlib.lib Cryptlib.pat

  PAT实际上是一个文本文件,记录了在lib文件中提取的相关文件的特征,如:558BEC83EC44535657894DFC8B45FCC700........8B4DFC83C110E8........ 04 4256 002F :0000 ??1Exception@CryptoPP@@UAE@XZ ^0011 ??_7Exception@CryptoPP@@6B@ ^001C ??1?$basic_string@DU?$char_traits@D@std@@V?$allocator@D@2@@std@@QAE@XZ ^0024 ??1exception@std@@UAE@XZ ........5F5E5B8BE55DC3

  PAT记录特征方式在FLIAT工具包中的pat.txt有详细介绍,比如上例中:

  • 前64十六进制串558BEC83EC44535657894DFC8B45FCC700........8B4DFC83C110E8........对应标记(函数)模块的前32字节,.表示任意字符;

  • 04 4256表示随后的4字节的CRC16校验值为0x4256

  • 002F :0000冒号前后分别表示这个(函数)模块长度(0x2f字节)和函数名在模块中的偏移(offset:0x0000);

  • 1Exception@CryptoPP@@UAE@XZ为函数符号名;

  • ^0011 ??_7Exception@CryptoPP@@6B@表示在函数0x11偏移处引用了符号_7Exception@CryptoPP@@6B@;

  • ........5F5E5B8BE55DC为模块剩余字节,也正因为此,一些长函数的特征就很长。

PAT -> SIG

  成功生成PAT文件后,执行以下命令(为了兼容性,输出文件名不应超过8字节):

sigmake.exe Cryptlib.pat Cryptlib.sig

  很多时候,由于PAT中一些函数的特征一致,也就是操作是一样的,但是函数名不一致,这个时候会出现冲突。

  出现这种情况,sigmake会将冲突组写入一个同目录下同名的EXC(exclude)文本文件中(本例中为Cryptlib.exec)。如果已有同名exec文件,则追加至文件尾部。

  我们需要修改这个文件中的冲突组。每组中:

  1. 标识+即代表检测到这个签名时使用指定的这个符号名称;
  2. 标识-即不修改IDA反汇编中的函数名,而是以注释方式显示;
  3. 如果不进行处理,则在识别到指定标签后不进行动作。

  接着执行同样的命令,生成sig文件,如果还有冲突,重复上面操作。修改时如果式子过多,可以在编辑器中正则匹配替换一下。

  需要注意的是:

  • 为最大限度地减少冲突,删除排斥文件(*.exc)开头的4个注释行;

  • 最多只能给冲突函数组中的一个函数附加+/-

  • 如果一个冲突函数仅包含一个函数,不要在该函数前附加+/-,让它保持原状即可;

参考:

《加密与解密(第4版)》第3章

《IDA Pro权威指南》第12章

posted @ 2020-04-19 00:52  Bl0od  阅读(3198)  评论(0编辑  收藏  举报