Mul on eemaldatud päkapikufail, mis on staatiliselt lingitud teekidega. Kas saaksin võtta failides olevad algsed teegifailid ja nimetada IDA funktsioonid, mis vastavad teegi funktsioonidele?
Peate staatilistest raamatukogudest FLAIR-komplekti abil looma FLIRT-allkirjad ja rakendama need allkirjad laaditud failile. Pange tähele, et see töötab ainult siis, kui binaarkaardi kompileerimisel kasutati täpselt samu teeke (nt kompileerimisvalikud peavad vastama), kuna FLIRT tugineb baitide sobitamisele. Lisateavet FLIRTi kohta leiate aadressilt https://www.hex-rays.com/products/ida/tech/flirt/in_depth.shtml
tõenäoliselt aitab see ida pro pistikprogramm syms2elf
Pistikprogramm eksportida IDA Pro ja radare2 poolt tunnustatud sümbolid (praegu ainult funktsioonid) ELF-i sümbolitabelisse. See võimaldab meil kasutada IDA / r2 võimsust funktsioonide tuvastamisel (analüüs, FLIRT-allkirjad, käsitsi loomine, ümbernimetamine jne), kuid ei piirdu ainult selle tööriista ainsa kasutamisega. Toetab 32- ja 64-bitiseid failivorminguid. br> NÄIDE - põhineb täielikult eemaldatud ELF-il:
$ file test1_x86_stripped test1_x86_stripped: ELF 32-bitine LSB käivitatav fail, Intel 80386, versioon 1 (SYSV), dünaamiliselt lingitud (kasutab jagatud libse), jaoks GNU / Linux 2.6.32, eemaldatud
https://github.com/danigargu/ida-syms2elf
muu pistikprogrammi muutmine wsym Lisab ELF-faili sümbolid. Omamoodi riba vastand. See on väga varases arengujärgus ja seda tuleks pidada PoC / beetatarkvaraks.
https://github.com/wapiflapi/wsym