前言
Golang语言编写的恶意代码越来越多,在分析去除符号的Golang恶意软件时,分析插件IDAGolangHelper很有用,此插件可以快速重命名函数,方便我们分析软件。
使用插件之前:
image.png
使用插件之后:
image.png
image.png
Github:https://github.com/sibears/IDAGolangHelper
使用
下载插件,使用时
File -> Script File 选择go_entry.py运行即可
出现问题
在IDA Pro7.5 Python3的环境下使用脚本会报错
image.png
在
Gopclntab.py的rename函数中简单修改就行,就是在name = idc.get_strlit_contents(base + name_offset)后面加name = name.decode("utf-8")
name_offset = idc.get_wide_dword(base+offset+ptr.size)
name = idc.get_strlit_contents(base + name_offset)
name = name.decode("utf-8")
name = Utils.relaxName(name)
Utils.rename(func_addr, name)
已经向作者提交Issues
image.png
网友评论