ida pro恢復去符號程序的符號
序言
第一部分說的都是廢話吧,對我來說,建議用後面部分的
恢復方法
lscanf
首先獲得sig,我這裏用的是lscanf裏的sig
先掃描下
python lscan.py -f stripped -S amd64/sig/
amd64/sig/libc-2.13.sig 12266/3369 (364.08%)
amd64/sig/libc-2.22.sig 12870/2859 (450.16%)
amd64/sig/libc-2.23.sig 13163/2869 (458.80%)
amd64/sig/libcrypto-1.0.2h.sig 36850/5057 (728.69%)
amd64/sig/libm-2.13.sig 11125/445 (2500.00%)
amd64/sig/libm-2.22.sig 11121/582 (1910.82%)
amd64/sig/libm-2.23.sig 11124/600 (1854.00%)
amd64/sig/libpcre-8.38.sig 18/150 (12.00%)
amd64/sig/libpthread-2.13.sig 11379/319 (3567.08%)
amd64/sig/libpthread-2.22.sig 11159/262 (4259.16%)
amd64/sig/libpthread-2.23.sig 11160/258 (4325.58%)
amd64/sig/libssl-1.0.2h.sig 0/665 (0.00%)
對比下符號哪個版本最匹配,這裏顯示是libm-2.13是最高的
到目錄下移動libm-2.13.sig到IDA pro的安裝目錄下的sig文件夾下的pc目錄下(大坑,網上都說是sig目錄下,放到那完全沒用,對我來說)
emm,這個lscan 有點坑,我跑起來會卡死我機子,算了刪了,手動嘗試吧,下個sig database
sig-database
file->Load file->flirt signature file
或者shift+f5
重要的事情
將.sig移動到IDA pro的安裝目錄下的sig文件夾下的pc目錄下(大坑,網上都說是sig目錄下,放到那完全沒用,對我來說)
將.sig移動到IDA pro的安裝目錄下的sig文件夾下的pc目錄下(大坑,網上都說是sig目錄下,放到那完全沒用,對我來說)
將.sig移動到IDA pro的安裝目錄下的sig文件夾下的pc目錄下(大坑,網上都說是sig目錄下,放到那完全沒用,對我來說)
紅帽杯 2019 three
這道題也是去除了符號表的
經嘗試好多次後,發覺這個最符合,
libc6_2.27-0ubuntu2_i386 Applied 460 ubuntu 18.04 libc6 (2.27-0ubuntu2/i386)
看下恢復符號後
恢復符號前
好明顯的對比,太強了
湖湘杯 HackNote
這個最匹配的庫
libc6_2.23-0ubuntu10_amd64 Applied 671 ubuntu 16.04 libc6 (2.23-0ubuntu10/amd64)
多麼好看的場景
總結
靜態去符號的題目最近做了好幾道,總結下這種方法,避免以後再次遇到