去除 golang 编译的一些信息
不同的处理 go 程序方式
go build -trimpath -ldflags="-s -w -buildid="
garble -literals build -ldflags="-s -w -buildid=" -trimpath
garble -tiny -literals build -ldflags="-s -w -buildid=" -trimpath
garble -tiny -literals build -ldflags="-s -w -buildid=" -seed=random -trimpath
分别用上述手段去除信息编译出来的文件
如果去除掉了编译的信息,例如
go build -trimpath -ldflags="-s -w -buildid="-trimpath 可以参考如下博客,通过 pclntab,moduledata 来恢复符号
谷歌云博客:Golang Internals and Symbol Recovery --- Ready, Set, Go — Golang Internals and Symbol Recovery | Google Cloud Blog
效果如下,能恢复不少的一部分,但是还是不能完全恢复
redress
GoReSym:更适合恢复 IDA 里的函数名、类型、源码行信息
Redress:更适合在命令行快速摸清包、结构体、源码布局、模块信息
看info
redress.exe info gotest_stripped
看mod
redress gomod gotest_stripped
看包
redress packages sample.exe
redress packages --vendor --unknown gotest_stripped
redress packages --std --vendor --unknown --filepath gotest_stripped
看函数
redress.exe source gotest_stripped --vendor --std
类型信息
redress types struct gotest_stripped
gostringungarbler
样本必须是用 garble -literals 混淆过字符串的 Go 程序
-i 输入文件,被 garble 混淆的 Go 样本,必填
-o 输出文件,生成打补丁后的样本,可选
-s 导出的解密字符串列表,可选
整体上有点用,但是作用不太大