Question

库快速识别和鉴定技术，简称 FLIRT¹ ，是 IDA 用于识别库代码的一组技术。FLIRT 的核心是各种模式匹配算法，这些算法使 IDA 能够迅速确定：一个经过反汇编的函数是否与 IDA 已知的许多签名中的某一个相匹配。IDA 自带的签名文件保存在—<IDADIR>/sig 目录中，其中的大多数库是常见的 Windows 编译器自带的库，当然其中也包括一些非 Windows 签名。

^{1. 参见 http://www.hex-rays.com/idapro/flirt.htm 。}

签名文件利用一种自定义格式将大量签名数据压缩并封装到一个特定于 IDA 的头文件中。多数情况下，签名文件名并不能清楚说明相关签名是由哪个库生成的。根据签名文件的创建方式，签名文件中可能包含一个描述其内容的库名称注释。查看从某个签名文件中提取出来的 ASCII 内容的前几行代码，通常可以找到这段注释。通常，下面的 Unix 命令² 可以在第二或第三行输出结果中显示上述注释：

^{2. strings 命令已在第 2 章讨论，而 head 命令用于查看其输入的前几行（这里为 3 行）代码。}

# strings sigfile  | head -n 3

在 IDA 中，有两种方法可以查看与签名文件有关的注释。首先，你可以通过 View ▶Open Subviews ▶Signatures 访问应用于某个二进制文件的签名列表。其次，在手动签名应用程序中，所有签名文件的列表将会显示出来，你可以通过 File ▶Load File ▶FLIRT Signature File 打开这个列表。