Tokom konferencije RSA Američka Agencija za nacionalnu sigurnost najavila je otvaranje pristupa "Ghidra" Alatu za obrnuti inženjering, koji uključuje interaktivni rastavljač s podrškom za dekompiliranje C koda i pruža moćne alate za analizu izvršnih datoteka.
Projekat Razvija se gotovo 20 godina, a aktivno ga koriste američke obavještajne agencije.. Da biste identificirali oznake, analizirali zlonamjeran kôd, proučavali razne izvršne datoteke i analizirali kompajlirani kod.
Zbog svojih mogućnosti, proizvod je uporediv s proširenom verzijom vlasničkog paketa IDA Pro, ali dizajniran je isključivo za analizu koda i ne sadrži program za ispravljanje pogrešaka.
Sa druge strane, Ghidra ima podršku za dekompiliranje u pseudokod koji izgleda kao C (u IDA-u je ova značajka dostupna putem nezavisnih dodataka), kao i moćniji alati za zajedničku analizu izvršnih datoteka.
Glavne karakteristike
Unutar Ghidra alata za obrnuti inženjering možemo pronaći sljedeće:
- Podrška za razne skupove procesorskih uputa i formata izvršnih datoteka.
- Analiza izvršne datoteke za izvršne datoteke za Linux, Windows i macOS.
- Sadrži rastavljač, asembler, dekompajler, generator grafikona izvršavanja programa, modul za izvršavanje skripti i veliki set pomoćnih alata.
- Sposobnost izvođenja u interaktivnom i automatskom režimu.
- Plug-in podrška za implementaciju novih komponenti.
- Podrška za automatizaciju radnji i proširenje postojeće funkcionalnosti povezivanjem skripti na Java i Python jezicima.
- Dostupnost sredstava za timski rad istraživačkih timova i koordinaciju rada tokom obrnutog inženjeringa vrlo velikih projekata.
Zanimljivo, nekoliko sati nakon Ghidrinog izdanja, paket je pronašao ranjivost u implementaciji načina otklanjanja grešaka (onemogućeno po defaultu), koji otvara mrežni port 18001 za daljinsko otklanjanje grešaka u aplikacijama pomoću Java Debug Wire Protocol (JDWP).
Prema zadanim postavkama, mrežne veze su napravljene na svim dostupnim mrežnim sučeljima, umjesto na 127.0.0.1, šta ti omogućava vam povezivanje s Ghidrom iz drugih sistema i izvršavanje bilo kojeg koda u kontekstu aplikacije.
Na primjer, možete se povezati s programom za pronalaženje pogrešaka i prekinuti izvršavanje postavljanjem točke prekida i zamijeniti svoj kôd za daljnje izvršavanje pomoću naredbe "ispiši novo", na primjer »
ispisati novi java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') ».
Osim toga, iMoguće je uočiti objavljivanje gotovo u potpunosti revidiranog izdanja otvorenog interaktivnog rastavljača REDasm 2.0.
Program ima proširivu arhitekturu koja vam omogućava povezivanje upravljačkih programa za dodatne skupove uputa i formate datoteka u obliku modula. Kôd projekta napisan je na jeziku C ++ (sučelje temeljeno na Qt) i distribuira se pod GPLv3 licencom. Rad podržan na Windowsima i Linuxima.
Osnovni paket podržava formate firmvera PE, ELF, DEX (Android Dalvik), Sony Playstation, XBox, GameBoy i Nintendo64. Od skupova instrukcija podržani su x86, x86_64, MIPS, ARMv7, Dalvik i CHIP-8.
Među značajkama, možemo spomenuti podršku za interaktivnu vizualizaciju u IDA stilu, analizu višenitnih aplikacija, izrada grafikona vizualnog napretka, mehanizam za obradu digitalnih potpisa (koji radi sa SDB datotekama) i alati za upravljanje projektima.
Kako instalirati Ghidra?
Za one koji su zainteresirani da ovo mogu instalirati Alat za obrnuti inženjering „Ghidra“,, Trebali bi znati da moraju imati najmanje:
- 4 GB RAM-a
- 1 GB za komplet za pohranu
- Neka je instaliran Java 11 Runtime and Development Kit (JDK).
Da bismo preuzeli Ghidru, moramo otići na njenu službenu web stranicu gdje možemo preuzeti. Link je ovaj.
Uradi sam Morat će otpakirati preuzeti paket, a unutar direktorija pronaći ćemo datoteku "ghidraRun" koja će pokretati komplet.
Ako želite znati više o tome, možete posjetiti sljedeći link.