Как выполнить обратную разработку исполняемых файлов Go — анализ вредоносных программ GoLang скачать в хорошем качестве

Как выполнить обратную разработку исполняемых файлов Go — анализ вредоносных программ GoLang

🔥 Узнайте, как проводить обратную разработку исполняемых файлов Go для анализа вредоносных программ 👨‍💻 Купить наши курсы: https://guidedhacking.com/register/ 💰 Сделать пожертвование на Patreon:   / guidedhacking   ❤️ Подпишитесь на нас в социальных сетях: https://linktr.ee/guidedhacking 🔗 Ссылка на статью GH: https://guidedhacking.com/threads/how... ❤️ Реверс исполняемых файлов Golang с помощью Ghidra от CUJO AI на VB2021❤️ Мы бы не смогли снять это видео без этих замечательных ресурсов: 1️⃣ Видео:    • Reversing Golang Binaries with Ghidra   2️⃣ Слайды: https://vblocalhost.com/uploads/2021/... 3️⃣Статья: https://cujo.com/reverse-engineering-... 4️⃣  / albertzsigovits   5️⃣  / pad0rka   📜 Описание видео: Обратная разработка двоичных файлов Go: подробное руководство Процесс обратной разработки двоичных файлов Go (или GoLang) может быть сложной задачей из-за их внутренних свойств. В этом руководстве подробно объясняется, как упростить этот процесс, используя скрипты для Ida Pro и Ghidra для обратной разработки строк и символов GoLang. Введение в двоичные файлы GoLang GoLang, язык программирования, разработанный Google в 2007 году и представленный публике в 2012 году, известен своей простотой и возможностями кросс-компиляции для Windows, Linux и macOS. Двоичные файлы Go по умолчанию статически скомпонованы, что означает, что все необходимые библиотеки включены в сам двоичный файл, что гарантирует отсутствие проблем с зависимостями. Однако эта особенность также приводит к увеличению размера двоичных файлов, что затрудняет обратную разработку или анализ вредоносного ПО GoLang. Понимание размера двоичных файлов Go с помощью сравнительного анализа Чтобы продемонстрировать сложность, связанную с размером двоичных файлов Go, рассмотрим простую программу «Hello, World!», написанную на C и GoLang. Версия на C после компиляции создаёт двоичный файл размером 16 килобайт, в то время как версия на GoLang создаёт увесистый файл размером два мегабайта. Такая значительная разница в размере обусловлена ​​тем, что двоичные файлы Go включают все необходимые библиотеки. Это означает, что для анализа одной функции вам может потребоваться обработать два мегабайта кода. Например, двоичный файл GoLang для программы «Hello, World!» может содержать до 1800 функций, в то время как аналог на языке C содержит всего 19 функций. Очистка двоичных файлов GoLang Очистка двоичного файла Go может помочь уменьшить его размер за счет удаления отладочных символов, имен процедур и переменных. Этот метод затрудняет отладку и обратную разработку двоичного файла. Тем не менее, он часто используется в файлах вредоносных программ GoLang для уменьшения их размера и усложнения обнаружения и анализа. Очищенный двоичный файл Go уменьшает размер двоичного файла «Hello, World!» с двух мегабайт до 1,3 мегабайт. Хотя такой подход приводит к уменьшению размера двоичного файла, он также ограничивает объем информации, доступной для обратной разработки. Определение двоичных файлов GoLang Двоичные файлы GoLang можно определить, проверив их строки. Эти строки часто содержат функции и другие элементы, указывающие на GoLang. Если эти элементы присутствуют в строках двоичного файла, разумно предположить, что двоичный файл может быть написан на GoLang. Восстановление информации из двоичных файлов Go, подвергнутых очистке Несмотря на ограничения, связанные с очисткой, информацию можно восстановить с помощью специальных скриптов, которые могут помочь в процессе обратной разработки Go. Ida Pro: Использование GoReSymand, GoReSymRename и вредоносного ПО GoLang. GoReSym GoReSym от Mandiant — это парсер символов GoLang, который извлекает метаданные из двоичных файлов Go. Эти данные включают архитектуру процессора, ОС, версию компилятора, метаданные функций, имена файлов, метаданные номеров строк, а также встроенные структуры и типы. Запустив GoReSym с флагами -t (для восстановления имён типов), -d (для получения имён пакетов Go) и -p (для получения путей к входным файлам), вы можете получить вывод с подробной информацией о вредоносном ПО GoLang. GoReSymRename После извлечения информации с помощью GoReSym, скрипт Python GoReSymRename используется в декомпиляторе GoLang от Ida Pro (или декомпиляторе Go) для импорта имён функций. Вы можете запустить этот скрипт, перейдя в раздел «Файл» в интерфейсе Ida Pro, нажав «Файл скрипта» и выбрав JSON-файл, сгенерированный GoReSym. Этот скрипт переименует все функции в исполняемом файле Go, значительно упростив процесс анализа. После завершения работы скрипта вы обнаружите, что основная часть примера стала гораздо чище и понятнее, а функции получили правильные имена и стали более удобными для анализа вредоносных программ на Golang. 📝 Временные метки: 0:00 — Введение в GoLang 0:31 — Сложности анализа вредоносных программ 0:44 — Использование IDA Pro и Ghidra 1:06 — Сравнение двоичных файлов C и Go 1:49 — Разбор дво...