快捷導(dǎo)航

淺析go逆向符號(hào)恢復(fù)

更新時(shí)間：2023年08月04日 11:34:38 作者：Wo0w

這篇文章主要介紹了go逆向符號(hào)恢復(fù)的相關(guān)知識(shí),本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下

前言

之前一直沒怎么重視，結(jié)果發(fā)現(xiàn)每次遇到go的題都是一籌莫展，刷幾道題練習(xí)一下吧

準(zhǔn)備

go語言寫的程序一般都被strip去掉符號(hào)了，而且ida沒有相關(guān)的簽名文件，沒辦法完成函數(shù)名的識(shí)別與字符串的定位，所以第一步通常為恢復(fù)相應(yīng)符號(hào)文件，網(wǎng)上有許多腳本可以用來恢復(fù)
**golang_loader_assist ：**靠匯編代碼的特征來找出 runtime_morestack 和 runtime_morestack_noctxt 函數(shù)，然后在 IDAPro 種遍歷對(duì)這兩個(gè)函數(shù)交叉引用的位置來找出函數(shù)體。
https://github.com/strazzere/golang_loader_assist
**IDAGolangHelper ：**從 pclntab 結(jié)構(gòu)中解析、恢復(fù)函數(shù)符號(hào)，Go 二進(jìn)制文件中還有大量的類型、方法定義的信息，也可以解析出來
https://github.com/sibears/IDAGolangHelper
**go_parser：**功能比前面幾個(gè)工具更加完善的 Go 二進(jìn)制文件解析工具，除了解析前面提到的函數(shù)名、字符串和數(shù)據(jù)類型信息
https://github.com/0xjiayu/go_parser
直接用ida運(yùn)行下載的python文件即可恢復(fù)

go go go! gorev

*ctf的一道簽到題，可惡使用前兩個(gè)腳本的時(shí)候顯示代碼錯(cuò)誤和恢復(fù)失敗，第三個(gè)可以使用

在這里插入圖片描述

其中v16是輸入前由隨機(jī)數(shù)產(chǎn)生，可以動(dòng)調(diào)產(chǎn)生，比較函數(shù)里面應(yīng)該是直接實(shí)現(xiàn)了比較函數(shù)，所以看著比較奇怪可以直接看第一個(gè)寄存器比較，得到最終的比較字符串

import base64
str1 = b'fiAGBkgXN3McFy9hAHRfCwYaIjQCRDFsXC8ZYBFmEDU='
str2 = base64.b64decode(str1)
print(str2)
rand = b'TcR@3t_3hp_5_G1H'
flag =''
for i in range(len(str2)):
    flag += chr(rand[i % 16] ^ str2[i])
    print(flag)

easy_go

被strip掉了，用golang_loader_assist恢復(fù)符號(hào)

在這里插入圖片描述

#include"stdio.h"
int main(){
	int byte_561538[] =
{
  0xDB, 0x9E, 0xB7, 0x9A, 0x91, 0xCA, 0xA1, 0x6B, 0x97, 0xC1, 
  0x74, 0xB3, 0x90, 0x00, 0x00, 0x00
};
	int byte_561518[] =
{
  0xD3, 0x75, 0x9B, 0xF9, 0xA3, 0x87, 0xED, 0x93, 0x8D, 0xDD, 
  0x77, 0xED, 0x67, 0x00, 0x00, 0x00
};
	int byte_561528[] =
{
  0xB7, 0x9C, 0x79, 0x43, 0x9B, 0xAF, 0x94, 0xE4, 0x94, 0x71, 
  0xEC, 0xEA, 0x8E, 0x00, 0x00, 0x00
};
	for(int i=0;i<13;i++){
		for(int k=0;k<128;k++){
			if(((byte_561538[i] + byte_561518[i] * k )&0xff) ==byte_561528[i] ){
			    putchar(k);
				break;
			}
		}
	}
	getchar();
return 0;
}