FLIRT
这是一项用于库文件快速识别与鉴定技术。可以使IDA在一系列编译器的标准库文件中自动找出调用的函数。
1.应用FLIRT签名
一般反汇编软件对于各种开发库无能为力,只能给反汇编结果,无法给出库函数名称。而FLIRT可以在反汇编结果正确标示调用的库函数名称。同样许多反汇编器都有类似的函数注解功能,但都局限于DLL的输出函数。ida尽可能包括了更多的开发库。IDA通常可以识别一些编译器,但不一定成功。如果是FLIRT没有自动识别出来,就可以强制使用编译器特征文件。
2.创建FLIRT签名文件
为了方便用户自行制作识别库签名文件,IDA提供FLIRT数据库生成工具FLAIR。创建步骤如下。
IDC脚本
IDA集成了一个脚本引擎,可以让用户从编程角度对IDA操作进行全面控制。脚本的存在极大提高了IDA的可扩展性,使IDA许多重复的任务可以由脚本来完成。IDA支持两种语言编写脚本,分别是IDC和Python。IDA的嵌入式脚本语言叫做IDC,是一种类C语言。
书中给出两个实例,但是pdf文件看不到,具体可以看书。
插件
IDC适用于小型任务和快速开发工作,但它不支持复杂的数据类型和一些复杂的任务。IDA提供了插件功能,可以完成一些基本功能。可以到这些地方下载。
1.插件的安装
直接把插件模块复制到IDA的plugins目录。要注意好IDA版本。
2.Hex-rays decompiler插件
这个插件是一款讲二进制文件直接反编译成高级语言的插件,功能很强大。
这也是个商业插件捆绑再IDA中,通过如下方式打开。
