Rizzo插件的IDA 7.4+版本。
将 rizzo.py 放到 ${IDA-FOLDER}/plugins 中。
一个IDAPython插件,可以生成 "模糊"的函数签名,然后在不同的IDB之间共享和应用。
有多套签名可以生成:
- "精确"签名,其中函数必须完全匹配。
- "模糊"签名,其中函数必须只在数据/调用引用方面相互相似。
- 以字符串为基础的签名,在这种情况下,函数是根据唯一的字符串引用来识别的。
- 立即数签名,其中函数是基于立即数引用来识别的。
这些签名是根据准确性来应用的,也就是说,首先应用精确签名,然后是基于字符串签名和立即数签名,最后是模糊签名。
此外,函数是根据调用引用来识别的。例如,考虑两个函数,一个名为'foo',另一个名为'bar',
'foo'函数是相当独特的,很容易为它生成一个可靠的签名,但是'bar'函数比较难以可靠地识别。然而,'foo'会调用'bar',因此,一旦'foo'被识别,'bar'也可以通过关联来识别。
这个版本的Rizzo被移植到IDA 7.4+,作者:
- Reverier
原作者:
- Craig Heffner
- devttys0