[原创]高版本go语言符号还原

2023-6-5 15:05 18093

[原创]高版本go语言符号还原

mingyuexc

2023-6-5 15:05

18093

实例版本

2022.6.8: go version go1.18.3 windows/amd64
高版本适用 1.20

还原过程

搜索 go.build
图片描述

查找交叉引用

go.build 在新版本中一定位于函数名称的第一个。

图片描述

https://go.dev/src/runtime/symtab.go
阅读源码，获取 moduledata 结构

// pcHeader holds data used by the pclntab lookups.
type pcHeader struct {
    magic          uint32  // 0xFFFFFFF0
    pad1, pad2     uint8   // 0,0
    minLC          uint8   // min instruction size
    ptrSize        uint8   // size of a ptr in bytes
    nfunc          int     // number of functions in the module
    nfiles         uint    // number of entries in the file tab
    textStart      uintptr // base for function entry PC offsets in this module, equal to moduledata.text
    funcnameOffset uintptr // offset to the funcnametab variable from pcHeader
    cuOffset       uintptr // offset to the cutab variable from pcHeader
    filetabOffset  uintptr // offset to the filetab variable from pcHeader
    pctabOffset    uintptr // offset to the pctab variable from pcHeader
    pclnOffset     uintptr // offset to the pclntab variable from pcHeader
}
 
 
 
type moduledata struct {
    pcHeader     *pcHeader
    funcnametab  []byte
    cutab        []uint32
    filetab      []byte
    pctab        []byte
    pclntable    []byte
    ftab         []functab
    findfunctab  uintptr
    minpc, maxpc uintptr
 
    text, etext           uintptr
    noptrdata, enoptrdata uintptr
    data, edata           uintptr
    bss, ebss             uintptr
    noptrbss, enoptrbss   uintptr
    end, gcdata, gcbss    uintptr
    types, etypes         uintptr
    rodata                uintptr
    gofunc                uintptr // go.func.*
 
    textsectmap []textsect
    typelinks   []int32 // offsets from types
    itablinks   []*itab
 
    ptab []ptabEntry
 
    pluginpath string
    pkghashes  []modulehash
 
    modulename   string
    modulehashes []modulehash
 
    hasmain uint8 // 1 if module contains the main function, 0 otherwise
 
    gcdatamask, gcbssmask bitvector
 
    typemap map[typeOff]*_type // offset to *_rtype in previous module
 
    bad bool // module failed to load and should be ignored
 
    next *moduledata
}

pclntable 一般等于 ftab，参照上图， ftab 与 pclntable 填充的是 pclntable 的值。

funcnametab 填充的是函数名称
图片描述
filetab 填充的是文件名称

与函数名称相关的是 ftab 和 pclntable
图片描述

适用于下面的结构体

type functab struct {
    entryoff uint32 // relative to runtime.text
    funcoff  uint32
}

图片描述
entryoff 为以代码段为起始位置的偏移。表示该函数实际的位置。代码段在windows为 text

funcoff 为以 pclntable 为起始位置的偏移。

//src\runtime\symtab.go
type functab struct {
    entry   uintptr
    funcoff uintptr
}
 
type funcInfo struct {
    *_func
    datap *moduledata
}
 
//src\runtime\runtime2.go
type _func struct {
    entry   uintptr // start pc
    nameoff int32   // function name
 
    args        int32  // in/out args size
    deferreturn uint32 // offset of start of a deferreturn call instruction from entry, if any.
 
    pcsp      uint32
    pcfile    uint32
    pcln      uint32
    npcdata   uint32
    cuOffset  uint32  // runtime.cutab offset of this function's CU
    funcID    funcID  // set for certain special runtime functions
    _         [2]byte // pad
    nfuncdata uint8   // must be last
}

对应着一个 funcInfo 结构体, 里面包含一个 _func 类型，该类型中有我们想要的信息。

意思就是: func 的 _func = pclntable + funcOff
通过上图的信息计算:

1 2	`hex(0x504320` `+` `0x2c20)` `=` `'0x506f40'` `hex(0x504320` `+` `0x2c48)` `=` `'0x506f68'`

发现刚好可以对得上信息
图片描述

第一个函数 go.build

图片描述
第二个函数 internal_cpu_Initialize

输出脚本

知道了这些就可以编写简单的脚本来还原go符号名了

ida python 脚本

import idc
from idc import *
import ida_nalt
 
moduledata_addr = 0x05289C0
pcHeader_addr = idc.get_qword(moduledata_addr)
 
if idc.get_wide_dword(pcHeader_addr) != 0x0FFFFFFF0:
    print(idc.get_wide_dword(pcHeader_addr))
    print("错误，并不是一个正确的go文件")
 
funcnametable_addr = idc.get_qword(moduledata_addr + 8)
filetab_addr = idc.get_qword(moduledata_addr + 8 + ((8*3) * 2))
pclntable_addr = idc.get_qword(moduledata_addr + 8 + ((8*3) * 4))
pclntable_size = idc.get_qword(moduledata_addr + 8 + ((8*3) * 4) + (8 * 4))
set_name(moduledata_addr, "firstmoduledata")
set_name(funcnametable_addr, "funcnametable")
set_name(filetab_addr, "filetab")
set_name(pclntable_addr, "pclntable")
 
print(pclntable_size)
 
def readString(addr):
    ea = addr
 
    res = ''
    cur_ea_db = get_db_byte(ea)
    while  cur_ea_db != 0 and cur_ea_db != 0xff:
        res += chr(cur_ea_db)
        ea += 1
        cur_ea_db = get_db_byte(ea)
    return res
 
def relaxName(name):
    # 将函数名称改成ida 支持的字符串
    #print(name)
    if type(name) != str:
        name = name.decode()
    name = name.replace('.', '_').replace("<-", '_chan_left_').replace('*', '_ptr_').replace('-', '_').replace(';','').replace('"', '').replace('\\', '')
    name = name.replace('(', '').replace(')', '').replace('/', '_').replace(' ', '_').replace(',', 'comma').replace('{','').replace('}', '').replace('[', '').replace(']', '')
    return name
 
cur_addr = 0
for i in range(pclntable_size):
 
    # 获取函数信息表
    cur_addr = pclntable_addr + (i * 8)
 
    # 获取函数入口偏移
    funcentryOff = get_wide_dword(cur_addr)
    funcoff = get_wide_dword(cur_addr + 4)
 
    funcInfo_addr = pclntable_addr + funcoff
 
    funcentry_addr = get_wide_dword(funcInfo_addr)
    funnameoff = get_wide_dword(funcInfo_addr + 4)
    funname_addr = funcnametable_addr + funnameoff
    funname = readString(funname_addr)
 
    # 真实函数地址
    truefuncname = relaxName(funname)
    truefuncentry = ida_nalt.get_imagebase() + 0x1000 + funcentryOff
 
    print(hex(truefuncentry), hex(funcoff), hex(funcInfo_addr),hex(funcentry_addr), hex(funnameoff),hex(funname_addr) ,funname)
    # 改名
    set_name(truefuncentry, truefuncname)
 
 
 
 
#print(hex(cur_addr))

其中 moduledata_addr 需要手动填充。

还原效果

图片描述

参考链接

https://github.com/Abyss-emmm/goparse
跳跳糖

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

最后于 2023-6-5 17:07 被mingyuexc编辑，原因：

#调试逆向 #软件保护

收藏・27

点赞・11

打赏

最新回复 (10)
秋狝雪币： 19244 活跃值： (28872) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1554 粉丝 28 关注私信	秋狝 2023-6-6 09:18 2 楼 1 mark
lihaiyanz 雪币： 184 活跃值： (2041) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 23 粉丝 10 关注私信	lihaiyanz 2023-6-6 12:37 3 楼 0 mark
vay 雪币： 1282 活跃值： (2212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 1 关注私信	vay 2023-6-6 14:09 4 楼 0 mark
fengyunabc 雪币： 3350 活跃值： (3372) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 511 粉丝 25 关注私信	fengyunabc 1 2023-6-6 15:24 5 楼 0 感谢分享。
shinratensei 雪币： 245 活跃值： (213327) 能力值： ( LV4，RANK：40 ) 在线值：发帖 1 回帖 140 粉丝 12 关注私信	shinratensei 1 2023-6-6 15:40 6 楼 0 tql
ChengQing 雪币： 573 活跃值： (949) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 140 粉丝 1 关注私信	ChengQing 2023-6-7 09:00 8 楼 0 马卡巴卡
Genes 雪币： 11999 活跃值： (8094) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 139 粉丝 1 关注私信	Genes 2023-6-12 11:50 9 楼 1 感谢分享。指出里面有两个小错误，不过没什么大影响： ”entryoff 为以代码段为起始位置的偏移。表示该函数实际的位置。代码段在windows为 text“ 猛一看还以为是pe的text，其实不是。这个算是moduledata.text的字段。另一个是： `type` `_func struct {` `entry uintptr` `//` `start pc` `nameoff int32` `//` `function name` 这个字段entry 我看了下 uint32 ，始终是32位的。这个untptr，在64位就是64位了。 https://go.dev/src/runtime/runtime2.go#:~:text=883-,entryOff%20uint32,-//%20start%20pc%2C%20as type _func struct { entryOff uint32 // start pc, as offset from moduledata.text/pcHeader.textStart nameOff int32 // function name, as index into moduledata.funcnametab. 这个长度要是错的话，后面肯定是计算错的，可能是你粘贴的老版本的吧。
mingyuexc 雪币： 589 活跃值： (1195) 能力值： ( LV5，RANK：65 ) 在线值：发帖 2 回帖 11 粉丝 3 关注私信	mingyuexc 2023-6-12 14:39 10 楼 0 Genes 感谢分享。 指出里面有两个小错误，不过没什么大影响： ”entryoff 为以代码段为起始位置的偏移。表示该函数实际的位置。代码段在windows为 text ... 感谢师傅指正，看了下源码确实是更新了，但不影响符号还原。第一个算是没考虑到其他平台，只考虑了windows，就随手写了。
nszy007 雪币： 3632 活跃值： (623) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 2 关注私信	nszy007 2023-6-21 14:01 11 楼 0 从上面截图上看脚本里moduledata_addr的地址应该是：0x5289A0吧？不知道是不是我理解错了？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

mingyuexc

发帖

回帖

RANK

关注

私信

他的文章

[原创]高版本go语言符号还原

[分享]2021 MAR DASCTF RE题解

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
秋狝雪币： 19244 活跃值： (28872) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1554 粉丝 28 关注私信	秋狝 2023-6-6 09:18 2 楼 1 mark
lihaiyanz 雪币： 184 活跃值： (2041) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 23 粉丝 10 关注私信	lihaiyanz 2023-6-6 12:37 3 楼 0 mark
vay 雪币： 1282 活跃值： (2212) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 1 关注私信	vay 2023-6-6 14:09 4 楼 0 mark
fengyunabc 雪币： 3350 活跃值： (3372) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 511 粉丝 25 关注私信	fengyunabc 1 2023-6-6 15:24 5 楼 0 感谢分享。
shinratensei 雪币： 245 活跃值： (213327) 能力值： ( LV4，RANK：40 ) 在线值：发帖 1 回帖 140 粉丝 12 关注私信	shinratensei 1 2023-6-6 15:40 6 楼 0 tql
ChengQing 雪币： 573 活跃值： (949) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 140 粉丝 1 关注私信	ChengQing 2023-6-7 09:00 8 楼 0 马卡巴卡
Genes 雪币： 11999 活跃值： (8094) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 139 粉丝 1 关注私信	Genes 2023-6-12 11:50 9 楼 1 感谢分享。指出里面有两个小错误，不过没什么大影响： ”entryoff 为以代码段为起始位置的偏移。表示该函数实际的位置。代码段在windows为 text“ 猛一看还以为是pe的text，其实不是。这个算是moduledata.text的字段。另一个是： `type` `_func struct {` `entry uintptr` `//` `start pc` `nameoff int32` `//` `function name` 这个字段entry 我看了下 uint32 ，始终是32位的。这个untptr，在64位就是64位了。 https://go.dev/src/runtime/runtime2.go#:~:text=883-,entryOff%20uint32,-//%20start%20pc%2C%20as type _func struct { entryOff uint32 // start pc, as offset from moduledata.text/pcHeader.textStart nameOff int32 // function name, as index into moduledata.funcnametab. 这个长度要是错的话，后面肯定是计算错的，可能是你粘贴的老版本的吧。
mingyuexc 雪币： 589 活跃值： (1195) 能力值： ( LV5，RANK：65 ) 在线值：发帖 2 回帖 11 粉丝 3 关注私信	mingyuexc 2023-6-12 14:39 10 楼 0 Genes 感谢分享。 指出里面有两个小错误，不过没什么大影响： ”entryoff 为以代码段为起始位置的偏移。表示该函数实际的位置。代码段在windows为 text ... 感谢师傅指正，看了下源码确实是更新了，但不影响符号还原。第一个算是没考虑到其他平台，只考虑了windows，就随手写了。
nszy007 雪币： 3632 活跃值： (623) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 2 关注私信	nszy007 2023-6-21 14:01 11 楼 0 从上面截图上看脚本里moduledata_addr的地址应该是：0x5289A0吧？不知道是不是我理解错了？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复