IDA插件/脚本可为目标生成签名统计信息（针对所有sig）？

#1 楼

如果您谈论的是IDA FLIRT签名，那么不幸的是，迟早您可能会遇到它们的局限性，或者，如果想要高精度，会对结果感到沮丧。

首先，您可以了解IDA的系统在此处详细了解：
https://www.hex-rays.com/products/ida/tech/flirt/in_depth.shtml

您可以看到它仅与前32个字节匹配函数。
然后使用CRC16，因此有很大的冲突机会。

FLIRT的最大问题是它非常模棱两可。
容易出现错误匹配。并且，或者，如果匹配函数的前32个字节没有更改，但其余部分仍将匹配。这通常是一件好事，但其行为却是不可预测的。
此外，IDA中的系统缺少一个最小的UI。
例如，如果IDA跟踪并向您显示匹配项和不匹配项的列表，那就很好了。
虽然据说在6.4中他们会检查并更新设置，所以它可能已经改善。

现在还不可怕；总比没有好，总的来说，它非常有用。
但是由于这些问题，您可能需要自己做。

我制作了自己的签名系统，该系统遍历每个功能源签名目标的对象并复制所有非相对字节（即，IE跳过JMP，MOV，CALL指令等的偏移字节），并对整个对象进行64位哈希处理。
我只保存唯一的用户命名函数并跳过较小的函数（在字节数截止点以下）。保存冗余签名没有意义。

通过这种方式，我知道以后如果我有一场比赛，那就更有可能是一场出色而独特的比赛。
它更准确，而且很少有虚假和多余比赛的机会。
/>同样，它是通过一个插件完成的，该插件的速度与IDA自己的sig系统差不多，甚至更快。它还允许我添加所需的UI列表，包括匹配项，不匹配项，统计信息等。

#2 楼

您可能可以使用快照通过插件来实现此目的。我不认为数据库快照功能是在IDC或IDAPython中公开的。

新打开的数据库上的常规算法可能类似于

libs_before = iterate over all functions to determine initial count of library functions
snapshot_t ss;
::qstrncpy(ss.filename, "tempsnap", 9);
qstring errmsg;
take_database_snapshot(&ss, &errmsg);
//use platform directory iterator on IDA sigs directory
for i in list_of_sig_files
   int signum = plan_to_apply_idasgn(i);
   while (i--) {
      apply_idasgn(1);  //may need to play around with this
   }
   libs_after = iterate over all functions to determine count of library functions after sigs applied
   msg("%d signatures matched from %s\n", libs_after - libs_before, i);
   restore_database_snapshot(&ss), mycb, NULL);

其中最小的mycb是：

void idaapi mycb(const char *errmsg, void *ud) {}

显然有一些代码可以填写，但是这个想法是对库函数进行初始计数在二进制文件中并拍摄快照。接下来，遍历所有sig文件的名称，然后依次应用每个文件。应用每个签名文件后，在数据库中生成新的库函数计数。新计数与原始计数之间的差异是签名匹配的数量。最后，还原到快照以回滚应用sig时所做的更改。 br />
希望能使您走上正确的轨道

#3 楼

如果您在一个IDA数据库中重命名了Sub_Routines，则有一个名为BinDiff的插件，您可以在当前的IDA和尚未重构的新数据库之间运行BinDiff。唯一的缺点是，大小超过30mb的二进制文件会浪费一些时间。

http://i.imgur.com/dTPEyHq.png