提问:在 Linux 环境中运行的 go 二进制文件, 可以用什么工具 hook 呢
lzy250 · 2023-10-18 19:30:51 +08:00 via iPhone · 2398 次点击这是一个创建于 386 天前的主题,其中的信息可能已经有所发展或是发生改变。
已经通过 IDA 反编译拿到了函数名,但实在不知道还后续该如何 hook ,有哪位师傅能给点提示吗?
第 1 条附言 · 2023-10-23 08:58:56 +08:00
#2023/10/21 已解决。
之前尝试修改变量的思路有问题,后面用 dlv 调试了几次梳理了下解密逻辑,确定了加密用的的 CBC 模式、padding 方式和 aes_key ,正向手搓出来 license 了。
之前尝试修改变量的思路有问题,后面用 dlv 调试了几次梳理了下解密逻辑,确定了加密用的的 CBC 模式、padding 方式和 aes_key ,正向手搓出来 license 了。
 |
1
yuan1028 2023-10-18 19:54:41 +08:00 via Android
dlv
|
 |
3
virusdefender 2023-10-18 23:32:52 +08:00
gdb 或者 dlv 之类的调试器,其他的就是偏代码注入的,可以参考下 https://github.com/bytedance/Elkeid/tree/main/rasp/golang
|
 |
4
ysc3839 2023-10-19 00:40:39 +08:00 via Android
inline hook
|
 |
5
moooonb 2023-10-19 00:56:36 +08:00
frida ,ebpf (bcc)
|
 |
6
learningman 2023-10-19 02:32:57 +08:00 via Android
ptrace 呗,go 除了默认静态链接没啥不同的,就是一堆 runtime 调用比较乱,还有内置的 strip 不掉的符号
|
 |
7
lzy250 OP 感谢,我再去试下上面的方式,有结论了 append 。
|
 |
8
smartdone 2023-10-19 15:54:13 +08:00
frida
|
|
9
lzy250 OP 打断点已经找到了这个 locals 对应的值,但是通过 set 无法修改这个结构体中变量的值, 请教下 dlv 是不能修改某个变量的值吗?
@yuan1028 |
|
10
lzy250 OP 修改 int 类型的可以成功,但是修改字符串类型时就报错了。
Command failed: literal string can not be allocated because function calls are not allowed without using 'call' |
|
11
lzy250 OP @lzy250 Delve 的 Set 仅允许数字类型和指针。。。https://pkg.go.dev/github.com/go-delve/delve/service/rpc2#RPCServer.Set
|
1
Select Language