我试图对使用Qt 5.5.1图形库并用MinGw 4.9.2编译的可执行文件进行反向工程。当我用IDA pro 6.8打开它时,所有代码都显示为用户代码,没有任何公认的功能。为了帮助ida识别Qt函数,我尝试创建主要Qt库的调情签名。这导致了很多冲突(有时所有功能都发生冲突)。在尝试使用ida应用这些新签名后,我在可执行文件中找不到任何匹配。

我如何为Qt 5.5.1库生成调情签名? *编辑:**我正在Windows下工作,并且正在使用Windows可执行文件

评论

不能回答您的问题,但是我发现Diaphora在识别功能方面非常有用且功能更强大。您仍然必须使用相同的工具链来构建Qt,以实现更准确的匹配。

#1 楼

您需要使用MinGw 4.9.2构建Qt 5.5.1。并猜测开发人员最初使用的所有构建选项。然后使用适合您IDA版本的FLAIR从.a库生成pat文件。然后将pat文件编译为sig文件。将sig文件放入\ IDA \ sig并尝试应用它们。

评论


我试图生成签名文件,但发现约有7000个函数全部碰撞在一起,因此签名非常无用

– Rocco Mancin
18年1月26日在13:20

是的,有很多小功能您无法通过签名检测到

–安东·库科巴(Anton Kukoba)
18年1月26日在13:31

是否有可能“标记”这些小功能,至少知道它们属于库而不是用户代码?

– Rocco Mancin
18年1月29日在21:09

我不确定,也许有办法。我没有尝试这样做。也许FLAIR文档中有一些内容。

–安东·库科巴(Anton Kukoba)
18年1月30日在8:23