1

在应用签名时,IDA pro 会命名一些函数 unknown_libname_x。这些函数反映了 IDA 没有足够详细信息的库函数。然而,通常其他签名可能有关于此类函数的更多信息,因此当在第一个签名之后应用这些签名时,我希望 IDA 也适用于所有 unknown_libname_x 函数 - 可以这样做吗?因为它是 IDA 似乎只在以前应用的签名或您未触及的功能上应用签名。

坦率地说,我不明白为什么 IDA 在默认情况下不这样做 - 如果签名 y 在特定功能上比 x 具有更多信息,那么希望 y 否决/添加到 x 提供的信息似乎是微不足道的。

4

2 回答 2

1

我注意到 IDA 经常错误地命名一个函数 unknown_library_xxx。

您必须自己检查它们以确定它是否真的是某个库 fn,或者真的属于应用程序代码。

于 2011-12-14T10:15:32.437 回答
1

您可以通过 Signatures 子视图 [View->Open Subviews->Signatures)添加/删除运行时库的签名。

于 2011-11-22T11:30:49.290 回答