Ghidra ، مجموعة أدوات الهندسة العكسية لوكالة الأمن القومي

Ghidra

خلال مؤتمر RSA أعلنت وكالة الأمن القومي الأمريكية عن فتح باب الوصول إلى مجموعة أدوات الهندسة العكسية "Ghidra"، والذي يتضمن أداة تفكيك تفاعلية مع دعم فك شفرة C ويوفر أدوات قوية لتحليل الملفات التنفيذية.

المشروع لقد كان قيد التطوير منذ ما يقرب من 20 عامًا وتستخدمه وكالات الاستخبارات الأمريكية بنشاط.. لتحديد الإشارات المرجعية ، وتحليل التعليمات البرمجية الضارة ، ودراسة العديد من الملفات القابلة للتنفيذ ، وتحليل التعليمات البرمجية المجمعة.

لقدراته ، المنتج مشابه للإصدار الموسع من حزمة الملكية IDA Pro، لكنها مصممة حصريًا لتحليل الكود ولا تتضمن مصحح أخطاء.

وعلاوة على ذلك، Ghidra لديه دعم لفك التحويل إلى كود كاذب يشبه C (في IDA ، تتوفر هذه الميزة من خلال المكونات الإضافية لجهات خارجية) ، بالإضافة إلى أدوات أكثر قوة للتحليل المشترك للملفات القابلة للتنفيذ.

الملامح الرئيسية

ضمن مجموعة أدوات Ghidra للهندسة العكسية ، يمكننا أن نجد ما يلي:

  • دعم لمجموعات مختلفة من تعليمات المعالج وتنسيقات الملفات القابلة للتنفيذ.
  • تحليل دعم الملف القابل للتنفيذ لأنظمة Linux و Windows و macOS.
  • وهو يشتمل على أداة تفكيك ، ومجمع ، ومزيل مترجم ، ومولد رسم بياني لتنفيذ البرنامج ، ووحدة نمطية لتنفيذ البرامج النصية ومجموعة كبيرة من الأدوات المساعدة.
  • القدرة على الأداء في الوضعين التفاعلي والتلقائي.
  • دعم المكونات الإضافية مع تنفيذ مكونات جديدة.
  • دعم لأتمتة الإجراءات وتوسيع الوظائف الحالية من خلال توصيل البرامج النصية بلغات Java و Python.
  • توافر الأموال للعمل الجماعي لفرق البحث وتنسيق العمل أثناء الهندسة العكسية للمشاريع الكبيرة جدًا.

ومن المثير للاهتمام، بعد ساعات قليلة من إصدار Ghidra ، وجدت الحزمة ثغرة أمنية في تنفيذ وضع التصحيح (معطل افتراضيًا) ، والذي يفتح منفذ الشبكة 18001 لتصحيح أخطاء التطبيقات عن بُعد باستخدام Java Debug Wire Protocol (JDWP).

بشكل افتراضي، تم إجراء اتصالات الشبكة على جميع واجهات الشبكة المتاحة ، بدلاً من 127.0.0.1ماذا عنك يسمح لك بالاتصال بـ Ghidra من أنظمة أخرى وتنفيذ أي كود في سياق التطبيق.

على سبيل المثال ، يمكنك الاتصال بمصحح أخطاء وإيقاف التنفيذ عن طريق تعيين نقطة توقف واستبدال الكود الخاص بك لمزيد من التنفيذ باستخدام الأمر "طباعة جديد" ، على سبيل المثال ، »
طباعة جديد java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') ».

الى جانب ومن الممكن ملاحظة نشر نسخة منقحة بالكامل تقريبًا من برنامج التفكيك التفاعلي المفتوح REDasm 2.0.

يحتوي البرنامج على بنية قابلة للتوسيع تتيح لك توصيل برامج التشغيل للحصول على مجموعات إضافية من الإرشادات وتنسيقات الملفات في شكل وحدات نمطية. تمت كتابة كود المشروع بلغة C ++ (واجهة قائمة على Qt) وتوزيعه بموجب ترخيص GPLv3. العمل مدعوم على Windows و Linux.

الحزمة الأساسية تدعم تنسيقات البرامج الثابتة PE ، ELF ، DEX (Android Dalvik) و Sony Playstation و XBox و GameBoy و Nintendo64. من بين مجموعات التعليمات ، يتم دعم x86 و x86_64 و MIPS و ARMv7 و Dalvik و CHIP-8.

من بين الميزات ، يمكننا أن نذكر دعم التصور التفاعلي بأسلوب IDA ، وتحليل التطبيقات متعددة الخيوط، وبناء مخطط التقدم المرئي ، ومحرك معالجة التوقيع الرقمي (الذي يعمل مع ملفات SDB) وأدوات إدارة المشروع.

كيفية تثبيت Ghidra؟

للراغبين في التمكن من تثبيت هذا مجموعة أدوات الهندسة العكسية "Ghidra"، يجب أن يعلموا أنه يجب أن يكون لديهم على الأقل:

  • 4 غيغابايت من ذاكرة الوصول العشوائي
  • 1 جيجا بايت لتخزين الأدوات
  • تثبيت Java 11 Runtime and Development Kit (JDK).

لتنزيل Ghidra ، يجب أن نذهب إلى موقعه الرسمي حيث يمكننا التنزيل. الرابط هو هذا.

فعلت هذا بمفردك سيتعين عليهم فك ضغط الحزمة التي تم تنزيلها وداخل الدليل سنجد الملف "ghidraRun" الذي سيقوم بتشغيل المجموعة.

إذا كنت تريد معرفة المزيد عنها يمكنك زيارة الرابط التالي.


كن أول من يعلق

اترك تعليقك

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها ب *

*

*

  1. المسؤول عن البيانات: ميغيل أنخيل جاتون
  2. الغرض من البيانات: التحكم في الرسائل الاقتحامية ، وإدارة التعليقات.
  3. الشرعية: موافقتك
  4. توصيل البيانات: لن يتم إرسال البيانات إلى أطراف ثالثة إلا بموجب التزام قانوني.
  5. تخزين البيانات: قاعدة البيانات التي تستضيفها شركة Occentus Networks (الاتحاد الأوروبي)
  6. الحقوق: يمكنك في أي وقت تقييد معلوماتك واستعادتها وحذفها.