題:
相當於FLIRT的開源
Aviv
2016-08-23 13:59:51 UTC
view on stackexchange narkive permalink

我正在使用C反彙編程序,我需要在C程序中標識編譯器固有的函數(即SEH_prolog,SEH_epilog等)。

現在,唯一的方法是使用IDA的 FLIRT(快速庫識別和識別技術)引擎標記這些功能的RVA,並將該數據庫用作程序中的參考。

我的問題是是否有任何可以嵌入到我的C程序中的開放源/免費等效項引擎,以便使用啟發式方法識別已知功能?

二 答案:
Anton Kochkov
2016-08-24 02:26:39 UTC
view on stackexchange narkive permalink

radare2工具和框架,用純C語言編寫,作為可嵌入和可移植的庫-幾乎所有功能都可以通過C API和r2pipe API獲得。

有一些支持的選項:

  1. FLIRT本身-r2支持這種格式(請參閱“ zF”命令)
  2. Zignatures-r2的內部格式(請參見“ z?”命令以獲取幫助)
  3. Yara簽名-需要通過r2pm安裝一個yara插件(提供了“ yara”命令)
    4. ol>
W. Bruneau
2016-08-24 12:15:24 UTC
view on stackexchange narkive permalink

還有 Sibyl,這是一個基於 Miasm2的開源工具,用於執行功能劃分。



該問答將自動從英語翻譯而來。原始內容可在stackexchange上找到,我們感謝它分發的cc by-sa 3.0許可。
Loading...