IDA pro: применять подписи к функциям unknown_libname_x?

Question

При применении подписей IDA pro назовет некоторые функции unknown_libname_x. Эти функции отражают библиотечную функцию, о которой у IDA недостаточно подробностей. Однако часто другие сигнатуры могут иметь больше информации о таких функциях, и поэтому, когда эти сигнатуры применяются после первой, я хотел бы, чтобы IDA также применялась ко всем функциям unknown_libname_x - можно ли это сделать? Похоже, что IDA применяет сигнатуры ТОЛЬКО к функциям, не затронутым ранее примененными вами сигнатурами или вами.

Честно говоря, я не понимаю, почему IDA не делает этого по умолчанию - если в сигнатуре y содержится больше информации, чем x, о конкретной функции, кажется тривиальным, что вы хотите, чтобы y отменял / добавлял к предоставленной информации x. *

Answer 1

Я заметил, что часто IDA неправильно называет функцию unknown_library_xxx.

Вы должны сами проверить их, чтобы определить, действительно ли это какая-то библиотека fn или действительно принадлежит к коду приложения.

Answer 2

Вы можете добавлять / удалять подписи библиотек времени выполнения с помощью вложенного представления «Подписи» [View-> Open Subviews-> Signatures).