这篇文章上次修改于 314 天前,可能其部分内容已经发生变化,如有疑问可询问作者。
某软件请求有固定开头的内容,但是不是可见字符串:
最新版stackplz支持了bx/bufhex过滤功能,可以对至多8字节内容进行匹配:
./stackplz -n com.test.example -w sendto[int,buf.f0:x2,int] -f bx:73ea68 -o tmp.log --dumphex --color --stack
效果如下图:
额外补充:抓包的是socket数据,不要把https数据明文内容当作过滤条件了,对于https的内容syscall拿到的已经是加密了的
没有评论