FLIRT 的开源等效项

逆向工程 艾达 调试 蟒蛇 调情签名
2021-06-27 05:44:52

我正在使用 C 反汇编程序,我需要在我的 C 程序中识别编译器内部函数(即 SEH_prolog、SEH_epilog 等)。

目前,我唯一能做的就是使用IDA的FLIRT(Fast Library Identification and Recognition Technology)引擎来标记这些函数的RVA,并在我的程序中使用这个数据库作为参考。

我的问题是是否有任何开源/免费等效引擎可以嵌入我的 C 程序中,以便使用启发式方法识别已知函数?

2个回答

radare2工具和框架,用纯C,作为嵌入式和便携式图书馆-几乎通过C API和r2pipe API提供的所有功能。

有支持的选项:

  1. FLIRT 本身 - r2 支持这种格式(请参阅“zF”命令)
  2. Zignatures - r2 的内部格式(请参阅“z?”命令以获取帮助)
  3. Yara 签名 - 需要通过 r2pm 安装 yara 插件(提供“yara”命令)

还有Sibyl这是一个基于Miasm2的开源工具,可以执行函数占卜。

其它你可能感兴趣的问题
上一篇如何在radare2中获得漂亮的堆栈视图? 下一篇无创调试有什么影响?