IDA pro：在unknown_libname_x函数上应用签名？

Question

应用签名时，IDA pro 会将一些函数命名为unknown_libname_x。这些函数反映了 IDA 没有足够详细信息的库函数。然而，通常其他签名可能有关于此类函数的更多信息，因此当在第一个签名之后应用这些签名时，我希望 IDA 也适用于所有unknown_libname_x函数 - 这可以做到吗？事实上，IDA 似乎只对之前应用的签名或您未触及的函数应用签名。

坦率地说，我不明白为什么 IDA 默认情况下不这样做 - 如果签名 y 在特定功能上比 x 拥有更多信息，那么人们希望 y 否决/添加到 x 提供的信息似乎是微不足道的。

Answer 1

您可以通过签名子视图[View->Open Subviews->Signatures]添加/删除运行时库的签名。

Answer 2

我注意到 IDA 经常错误地命名函数unknown_library_xxx。

您必须亲自检查它们以确定它是否确实是某个库 fn，或者确实属于应用程序代码。