idaSig制作工具,IDA通過sig文件中的特征碼匹配識別函數(shù),sig制作過程是利用FLAIR解析器為靜態(tài)庫創(chuàng)建一個模式文件,運行sigmake.exe處理創(chuàng)建的模式文件,生成一個簽名文件!
設(shè)置模式
輸出目錄: 默認(rèn)sig文件生成目錄是在 程序運行目錄\sig_out 文件夾下
沖突處理模式
可能會有多個函數(shù)有相同的特征碼, 此時sigmake會產(chǎn)生一個exc文件, 自動處理會在每一處沖突的第一行添加一個\'+\'
手動處理目前只支持單文件 (因為不知道怎么阻塞主線程)
制作處理模式
模式1是將每一項(即ListBox中的每一行)都添加到同一條pat命令行中, 遇到目錄則在目錄后添加\.后綴名, 遇到文件則直接加入到pat命令行中, 例如E:\dir1和E:\dir2\a.lib 則模式1會執(zhí)行命令行(pcf.exe E:\dir1\\.lib E:\dir2\a.lib 時間戳.pat), 再執(zhí)行sigmake
模式2是將每一項單獨執(zhí)行一個pat命令行, 例如E:\dir1和E:\dir2\a.lib 則模式2會執(zhí)行命令行(pcf.exe E:\dir1\*.lib 時間戳.pat) 和 (pcf.exe E:\dir2\a.lib 時間戳.pat), 再執(zhí)行兩次sigmake
模式3會將每一個文件執(zhí)行一個pat命令行, 即遇到目錄不會在目錄后添加\*.后綴名, 而是遍歷文件夾將遇到的每一個文件執(zhí)行一次pat和sigmake
主界面的 PAT類型 選項只針對模式1和模式2, 即執(zhí)行哪種pat命令行, 例如是pcf還是pelf等, 模式3無論如何都會自動識別 (自動識別是通過判斷文件后綴名實現(xiàn)的)