这两天有闲心了就把去年写的几个脚本整合成了一个 IDA 插件，希望对在座各位有所帮助。

背景

分析 IOT 样本时经常会遇见被剥离符号的样本文件，此时如果直接进行分析则非常困难，所以需要还原其函数来帮助我们进行分析。
这里放两张图对比使用插件前后，还原前甚至可以说是完全无法进行分析的：

原理

SysNR-FuncFinder 这款 IDA 插件使用的方法是通过 Linux System Call Table 进行还原（此处不进行详细讲解了，大家可以自行搜索 system call 的相关文章）
简单来说是分析不同架构的汇编代码，然后使用 IDA Python 提取系统调用号，最后对应不同架构调用号的对应函数名进行 IDA 函数的重命名即可。

示例

下载

大家直接进github下载即可，有兴趣的也可以阅读一下代码。

PS:（IDA >=7.4 and python3）