By

Contents
  1. 1. 逆向分析静态编译并裁减了符号表的二进制文件
    1. 1.1. 原程序结构
    2. 1.2. 利用函数签名恢复函数名称
      1. 1.2.1. . lscan
      2. 1.2.2. . 使用Rizzo来自己生成签名库

逆向分析静态编译并裁减了符号表的二进制文件

做题时遇到了这类文件,记录记录恢复函数名过程。

原程序结构

分析原程序时可以看到一堆未识别的函数,并且未调用任何动态库。

利用函数签名恢复函数名称

<1>. lscan

使用lscan来比对引入函数量的动态库,这里可以看到libc-2.23.sig这个签名库包含了11.29%的信息

所以这里把这个签名库拷贝到IDA的sig文件夹下,使用File->Load File->FLIRT signature file功能,加载这个签名库,来识别出一些静态编译在程序中的函数。

虽然不多,但还是成功识别出一些函数了。

<2>. 使用Rizzo来自己生成签名库

当确定静态编译使用的版本时,就可以利用这个来很方便的导出库签名,并加载到要分析的程序中去。
这里我使用了本地libc做了实验,虽然版本不对,但是识别出了更多的函数。

Contents
  1. 1. 逆向分析静态编译并裁减了符号表的二进制文件
    1. 1.1. 原程序结构
    2. 1.2. 利用函数签名恢复函数名称
      1. 1.2.1. . lscan
      2. 1.2.2. . 使用Rizzo来自己生成签名库