这篇文章上次修改于 314 天前,可能其部分内容已经发生变化,如有疑问可询问作者。

某软件请求有固定开头的内容,但是不是可见字符串:

2024-02-01T09:00:39.png

最新版stackplz支持了bx/bufhex过滤功能,可以对至多8字节内容进行匹配:

./stackplz -n com.test.example -w sendto[int,buf.f0:x2,int] -f bx:73ea68 -o tmp.log --dumphex --color --stack

效果如下图:

2024-02-01T09:01:23.png

额外补充:抓包的是socket数据,不要把https数据明文内容当作过滤条件了,对于https的内容syscall拿到的已经是加密了的