Během konference RSA Americká národní bezpečnostní agentura oznámila otevření přístupu k „Ghidra“ Reverse Engineering Toolkit, který zahrnuje interaktivní disassembler s podporou dekompilace kódu C a poskytuje výkonné nástroje pro analýzu spustitelných souborů.
El Proyecto Byl vyvinut téměř 20 let a je aktivně používán americkými zpravodajskými agenturami.. Chcete-li identifikovat záložky, analyzovat škodlivý kód, studovat různé spustitelné soubory a analyzovat kompilovaný kód.
Pro své schopnosti produkt je srovnatelný s rozšířenou verzí proprietárního balíčku IDA Pro, ale je určen výhradně pro analýzu kódu a neobsahuje ladicí program.
Kromě toho, Ghidra má podporu pro dekompilaci do pseudokódu, který vypadá jako C. (v IDA je tato funkce k dispozici prostřednictvím pluginů třetích stran), stejně jako výkonnější nástroje pro společnou analýzu spustitelných souborů.
Hlavní charakteristiky
V rámci sady nástrojů pro reverzní inženýrství Ghidra najdeme následující:
- Podpora různých sad instrukcí procesoru a formátů spustitelných souborů.
- Analýza podpory spustitelných souborů pro Linux, Windows a macOS.
- Obsahuje disassembler, assembler, dekompilátor, grafický generátor pro provádění programu, modul pro provádění skriptů a velkou sadu pomocných nástrojů.
- Schopnost provádět v interaktivních a automatických režimech.
- Podpora zásuvných modulů s implementací nových komponent.
- Podpora automatizace akcí a rozšíření stávajících funkcí prostřednictvím připojení skriptů v jazycích Java a Python.
- Dostupnost finančních prostředků na týmovou práci výzkumných týmů a koordinaci prací při reverzním inženýrství velmi velkých projektů.
Zvědavě, několik hodin po vydání Ghidry balíček našel zranitelnost v implementaci režimu ladění (ve výchozím nastavení zakázáno), což otevírá síťový port 18001 pro vzdálené ladění aplikace pomocí JDWP (Java Debug Wire Protocol).
Ve výchozím stavu, byla vytvořena síťová připojení na všech dostupných síťových rozhraních namísto 127.0.0.1, co ty umožňuje vám připojit se k Ghidře z jiných systémů a spustit jakýkoli kód v kontextu aplikace.
Můžete se například připojit k debuggeru a přerušit provádění nastavením zarážky a nahradit svůj kód dalším spuštěním pomocí příkazu „tisknout nový“, například »
vytisknout nový java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') ».
Kromě toho aJe možné pozorovat vydání téměř kompletně přepracovaného vydání otevřeného interaktivního disassembleru REDasm 2.0.
Program má rozšiřitelnou architekturu, která vám umožňuje připojit ovladače pro další sady pokynů a formáty souborů ve formě modulů. Kód projektu je napsán v C ++ (rozhraní založené na Qt) a distribuován pod licencí GPLv3. Práce podporovaná v systémech Windows a Linux.
Základní balíček podporuje formáty firmwaru PE, ELF, DEX (Android Dalvik), Sony Playstation, XBox, GameBoy a Nintendo64. Z instrukčních sad jsou podporovány x86, x86_64, MIPS, ARMv7, Dalvik a CHIP-8.
Mezi funkce, můžeme zmínit podporu interaktivní vizualizace ve stylu IDA, analýzu vícevláknových aplikací, konstrukce grafu vizuálního postupu, motoru pro zpracování digitálních podpisů (který pracuje se soubory SDB) a nástrojů pro správu projektů.
Jak nainstalovat Ghidru?
Pro zájemce o možnost instalace Sada nástrojů pro reverzní inženýrství „Ghidra“,, Měli by vědět, že musí mít alespoň:
- 4 GB RAM
- 1 GB pro úložiště Kit
- Nechte si nainstalovat Java 11 Runtime a Development Kit (JDK).
Chcete-li stáhnout Ghidru, musíme jít na její oficiální web, kde si ji můžeme stáhnout. Odkaz je tento.
Udělejte to sami Budou muset rozbalit stažený balíček a uvnitř adresáře najdeme soubor "ghidraRun", který spustí soupravu.
Pokud se o tom chcete dozvědět více, můžete navštívit následující odkaz.