Ghidra, en NSA reverse engineering toolkit

ghydra

Under RSA-konferencen US National Security Agency annoncerede åbningen af ​​adgang til “Ghidra” Reverse Engineering Toolkit, som inkluderer en interaktiv disassembler med understøttelse af dekompilering af C-kode og giver effektive værktøjer til analyse af eksekverbare filer.

Projektet Det har været under udvikling i næsten 20 år og bruges aktivt af amerikanske efterretningsbureauer.. For at identificere bogmærker, analysere ondsindet kode, studere forskellige eksekverbare filer og analysere kompileret kode.

For dets evner, produktet kan sammenlignes med den udvidede version af den tilhørende IDA Pro-pakke, men det er udelukkende designet til kodeanalyse og inkluderer ikke en debugger.

Endvidere Ghidra har støtte til dekompilering til pseudokode, der ligner C (i IDA er denne funktion tilgængelig via tredjeparts plugins), såvel som mere kraftfulde værktøjer til fælles analyse af eksekverbare filer.

Vigtigste funktioner

Inden for Ghidra reverse engineering toolkit kan vi finde følgende:

  • Understøttelse af forskellige sæt processorinstruktioner og eksekverbare filformater.
  • Analyse af eksekverbar filsupport til Linux, Windows og macOS.
  • Den inkluderer en demonteringsenhed, en samler, en dekompilator, en programgenerator til grafisk programudførelse, et modul til eksekvering af scripts og et stort sæt hjælpeværktøjer.
  • Evne til at udføre i interaktive og automatiske tilstande.
  • Plug-in support med implementering af nye komponenter.
  • Støtte til automatisering af handlinger og udvidelse af eksisterende funktionalitet gennem tilslutning af scripts på Java og Python-sprog.
  • Tilgængelighed af midler til teamwork af forskningshold og koordinering af arbejde under reverse engineering af meget store projekter.

Mærkeligt nok et par timer efter Ghidras frigivelse fandt pakken en sårbarhed i implementeringen af ​​debug-mode (deaktiveret som standard), som åbner netværksport 18001 til fjernfejlretning af applikationen ved hjælp af JDWP (Java Debug Wire Protocol).

Som standard, netværksforbindelser blev foretaget på alle tilgængelige netværksgrænseflader i stedet for 127.0.0.1, hvad du giver dig mulighed for at oprette forbindelse til Ghidra fra andre systemer og udføre enhver kode i forbindelse med applikationen.

For eksempel kan du oprette forbindelse til en debugger og afbryde udførelse ved at indstille et breakpoint og erstatte din kode til yderligere udførelse ved hjælp af kommandoen "udskriv ny", for eksempel »
udskriv ny java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') ».

Desuden ogDet er muligt at observere udgivelsen af ​​en næsten fuldstændig revideret udgave af den åbne interaktive disassembler REDasm 2.0.

Programmet har en udvidelig arkitektur, der giver dig mulighed for at forbinde drivere til yderligere sæt instruktioner og filformater i form af moduler. Projektkoden er skrevet i C ++ (Qt-baseret interface) og distribueret under GPLv3-licensen. Arbejde understøttet på Windows og Linux.

Grundpakke understøtter PE, ELF, DEX firmwareformater (Android Dalvik), Sony Playstation, XBox, GameBoy og Nintendo64. Af instruktionssættene understøttes x86, x86_64, MIPS, ARMv7, Dalvik og CHIP-8.

Blandt funktionerne, vi kan nævne understøttelsen af ​​den interaktive visualisering i IDA-stil, analysen af ​​applikationer med flere tråde, konstruktionen af ​​et visuelt fremskridtsdiagram, den digitale signaturbehandlingsmotor (som fungerer med SDB-filer) og værktøjerne til projektledelse.

Hvordan installeres Ghidra?

For dem der er interesserede i at kunne installere dette Reverse Engineering Toolkit "Ghidra",, De burde vide, at de mindst skal have:

  • 4 GB RAM
  • 1 GB til kitlagring
  • Få Java 11 Runtime and Development Kit (JDK) installeret.

For at downloade Ghidra er vi nødt til at gå til dets officielle hjemmeside, hvor vi kan downloade. Linket er dette.

Gjort dette alene De bliver nødt til at pakke den downloadede pakke ud og inde i biblioteket finder vi filen "ghidraRun", som kører sættet.

Hvis du vil vide mere om det, kan du besøge følgende link.


Vær den første til at kommentere

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.