前言

众所周知，逆向的过程绝大程度上是一个符号还原的过程，掌握越多的符号信息对我们逆向破解目标越有利。但是，很多时候so文件采用静态链接系统或者一些开源的第三方库，这些库的函数就没有了符号，势必会导致我们浪费大量的时间在做无用功上。我读大学时石油工程专业的导师常常用铁人王进喜的名言激励我们“没有条件创造条件也要上”，同样，ELF文件中不包括这些函数的符号，我们就要给它创造符号。

对比

这里我们顺手用前几天爆出来的dirtycow（https://github.com/timwr/CVE-2016-5195） 这个run-as程序来玩玩。
它的代码如下：

#include <unistd.h>
#include <stdio.h>
#include <sys/capability.h>

int main(int argc, char **argv)
{
  struct __user_cap_header_struct capheader;
  struct __user_cap_data_struct capdata[2];

  printf("running as uid %d\n", getuid());

  memset(&capheader, 0, sizeof(capheader));
  memset(&capdata, 0, sizeof(capdata));
  capheader.version = _LINUX_CAPABILITY_VERSION_3;
  capdata[CAP_TO_INDEX(CAP_SETUID)].effective |= CAP_TO_MASK(CAP_SETUID);
  capdata[CAP_TO_INDEX(CAP_SETGID)].effective |= CAP_TO_MASK(CAP_SETGID);
  capdata[CAP_TO_INDEX(CAP_SETUID)].permitted |= CAP_TO_MASK(CAP_SETUID);
  capdata[CAP_TO_INDEX(CAP_SETGID)].permitted |= CAP_TO_MASK(CAP_SETGID);
  if (capset(&capheader, &capdata[0]) < 0) {
    printf("Could not set capabilities: %s\n", strerror(errno));
  }

  if(setresgid(0,0,0) || setresuid(0,0,0)) {
    printf("setresgid/setresuid failed\n");
  }

  printf("uid %d\n", getuid());
  return 0;
}

动态链接编译后，用IDA找到main函数，这里顺便指出下，就是IDA在反汇编android可执行程序时，不能很好的识别main函数，并且会把它的指令状态搞错，我们通过start函数找到main函数之后如下图：

错误反汇编的指令状态

我们需要先快捷键“U” undefine下这段，然后快捷键“ALT+G”切换到thumb指令状态（将T标志位设置1），如下图：

动态链接libc的run-as程序

我们知道，IDA通过读取动态符号表.dynsym来获得这些符号的, .dynsym用来保存与动态链接相关的导入导出符号，不包括模块内部的符号。：

parker@ubuntu:~/workspace/CVE-2016-5195/libs/armeabi$ arm-linux-androideabi-readelf -s run-as
Symbol table '.dynsym' contains 23 entries:
Num: Value Size Type Bind Vis Ndx Name
0: 00000000 0 NOTYPE LOCAL DEFAULT UND
1: 00000000 0 FUNC GLOBAL DEFAULT UND __libc_init@LIBC (2)
2: 00000000 0 FUNC GLOBAL DEFAULT UND __cxa_atexit@LIBC (2)
3: 00000000 0 FUNC GLOBAL DEFAULT UND getuid@LIBC (2)
4: 00000000 0 FUNC GLOBAL DEFAULT UND printf@LIBC (2)
5: 00000000 0 FUNC GLOBAL DEFAULT UND memset@LIBC (2)
6: 00000000 0 FUNC GLOBAL DEFAULT UND capset@LIBC (2)
7: 00000000 0 FUNC GLOBAL DEFAULT UND __errno@LIBC (2)
8: 00000000 0 FUNC GLOBAL DEFAULT UND strerror@LIBC (2)
9: 00000000 0 FUNC GLOBAL DEFAULT UND setresgid@LIBC (2)
10: 00000000 0 FUNC GLOBAL DEFAULT UND puts@LIBC (2)
11: 00000000 0 FUNC GLOBAL DEFAULT UND setresuid@LIBC (2)
12: 00000000 0 FUNC GLOBAL DEFAULT UND __stack_chk_fail@LIBC (2)
13: 00000000 0 OBJECT GLOBAL DEFAULT UND __stack_chk_guard@LIBC (2)
14: 00000000 0 FUNC WEAK DEFAULT UND __gnu_Unwind_Find_exidx
15: 00000000 0 FUNC GLOBAL DEFAULT UND abort@LIBC (2)
16: 00000000 0 FUNC GLOBAL DEFAULT UND memcpy@LIBC (2)
17: 00000000 0 NOTYPE WEAK DEFAULT UND __cxa_begin_cleanup
18: 00000000 0 NOTYPE WEAK DEFAULT UND __cxa_type_match
19: 00000000 0 NOTYPE WEAK DEFAULT UND __cxa_call_unexpected
20: 00004000 0 NOTYPE GLOBAL DEFAULT ABS _edata
21: 00004000 0 NOTYPE GLOBAL DEFAULT ABS __bss_start
22: 00004004 0 NOTYPE GLOBAL DEFAULT ABS _end

但是如果我们采用静态链接libc来编译run-as,如下：

静态链接的run-as

用对比IDA打开静态链接的程序和动态链接的程序，IDA无法识别这些getuid，printf函数了，这可能会在逆向的过程中导致我们对这些函数进行分析，多此一举。因此，我们需要制作sig文件让IDA认识这些函数。

制作sig文件

吾爱破解上分享的IDA6.8版本自带有签名工具flair68：http://www.52pojie.cn/thread-442702-1-1.html, 制作过程很简单，这里我们为android-ndk-r10e\platforms\android-21\arch-arm\usr\lib\libc.a制作sig文件为例

第一步 制作PAT文件

$ pelf libc.a libc.pat
libc.a: skipped 51, total 1977

生成pat文件, .pat文件说明各个模式的格式。

第二步 制作sig文件

$ sigmake libc.pat libc.sig

只要有两个函数的模式相同，就会发生冲突。如果不能解决冲突，在应用签名的过程中，我们就无法确定函数到底与哪一个签名相匹配。 只要存在冲存，sigmake生成的就不是.sig文件，而是一个排斥文件（.exc），.exc文件是文本文件，它详细说明了sigmake在处理模式文件时遇到的冲突 排斥文件是文本文件，它详细说明了sigmake在处理模式文件时遇到的冲突 。我们按照exc文件前面注释的要求解决模式冲突后，即可生成sig文件。

第三步 加载sig文件

将生成的sig文件放入IDA 目录\sig\arm下，快捷键“shift+F5”打开signatures subviews，右键“Apply new sigature...”加载我们生成的libc.sig，

总结

这里以libc为例子，一般都不会静态链接libc，静态链接libstlport等这些stl库会多一些，读者可以制作它们的sig文件，另外，除了通过签名来进行函数识别，还可以根据一些函数的系统调用号来识别该函数：
https://github.com/parkerpeng/IDA-Script-for-android
其它的函数识别思路：
https://github.com/cea-sec/Sibyl