IDA Feeds自动匹配签名(IDA 9.0 SP1)

什么是 IDA Feeds?

Ida 源可帮助您确定在分析二进制文件时要应用哪些签名,尤其是当您不知道哪些静态库链接到它们时。IDA Feeds 无需手动应用签名,而是在几秒钟内自动扫描并应用许多签名。只需打开签名文件夹,让 IDA 扫描并找到可能的匹配项,然后批量应用建议的签名。
IDA Feeds 使用 FLIRT 签名包,这些包将定期更新和发布,以便您及时了解最新的可识别签名。

IDA Feeds 配置和设置

要开始使用 IDA Feeds,并使其在 Edit -> Plugins 子菜单下的插件列表中可见,需要对插件进行适当的配置。

先决条件

基本使用只能顺序扫描,完全使用支持并行扫描,需要配置以下依赖:
idalib
RPyc5.x 用于并行探测
已下载最新的 IDA FLIRT 签名包。

具体步骤:

首先使用idapython安装和激活idalib
在cmd中IDA目录下的idalib文件夹
使用idapython,指定pip下载idalib/python目录下setup.py指定的内容

python -m pip install ../idalib/python/. # 安装idalib
image

python ../idalib/python/py-activate-idalib.py # 激活idalib
image
下载idafeeds的依赖(RPyc)
python -m pip install -r ../plugins/ida_feeds/requirements.txt
image

requirements.txt 
PyQt5==5.15.11
rpyc~=6.0.0

下载解压flair

打开IDA调试程序发现插件没有运行,发现在IDA的插件目录缺少了flair工具,里面放着各个版本的FLAIR解析器,win的,mac的,linux的都有。
FLIRT:库文件快速识别与鉴定技术(Fast Library Identification and Recognition Technology)。
将下载好的flair解压到plugins文件夹中。
image
flair下载链接:https://wwnm.lanzouo.com/b00wmqjbhe
(包含flair70、90、90sp1)密码:dymb

使用IDA Feeds

插件在Edit>plugins>IDA Feeds启动

image
使用步骤:
image

  1. 先选择指定符号库,再选择扫描模式
  2. 选中符号库的某个符号文件,按ctrl+a选中所有符号,再点击运行探测
  3. 按住ctrl,选中所有匹配到的签名,点击Apply signatures

符号恢复如下:
image

参考链接:
https://xz.aliyun.com/news/4116
https://bbs.kanxue.com/thread-285604.htm#msg_header_h2_2
https://docs.hex-rays.com/9.0sp1/user-guide/plugins/plugins-shipped-with-ida/ida-feeds#prerequisites

posted @ 2025-06-03 16:24  Loomingsafe  阅读(535)  评论(0)    收藏  举报