Während der RSA-Konferenz Die US National Security Agency kündigte die Eröffnung des Zugangs zum Reverse Engineering Toolkit „Ghidra“ anDies beinhaltet einen interaktiven Disassembler mit Unterstützung für das Dekompilieren von C-Code und bietet leistungsstarke Tools zur Analyse ausführbarer Dateien.
Das Projekt Es wurde seit fast 20 Jahren entwickelt und wird von US-Geheimdiensten aktiv genutzt.. Um Lesezeichen zu identifizieren, analysieren Sie schädlichen Code, untersuchen Sie verschiedene ausführbare Dateien und analysieren Sie kompilierten Code.
Für seine Fähigkeiten, Das Produkt ist vergleichbar mit der erweiterten Version des proprietären IDA Pro-PaketsEs ist jedoch ausschließlich für die Code-Analyse konzipiert und enthält keinen Debugger.
Ferner Ghidra unterstützt die Dekompilierung in einen Pseudocode, der wie C aussieht (In IDA ist diese Funktion über Plugins von Drittanbietern verfügbar.) sowie leistungsfähigere Tools für die gemeinsame Analyse ausführbarer Dateien.
Schlüsselmerkmale
Im Ghidra Reverse Engineering Toolkit finden Sie Folgendes:
- Unterstützung für verschiedene Sätze von Prozessoranweisungen und ausführbaren Dateiformaten.
- Analyse der Unterstützung ausführbarer Dateien für Linux, Windows und MacOS.
- Es enthält einen Disassembler, einen Assembler, einen Dekompiler, einen Grafikgenerator für die Programmausführung, ein Modul zur Ausführung von Skripten und eine große Anzahl von Hilfstools.
- Fähigkeit, im interaktiven und automatischen Modus zu arbeiten.
- Plug-In-Unterstützung bei der Implementierung neuer Komponenten.
- Unterstützung für die Automatisierung von Aktionen und die Erweiterung vorhandener Funktionen durch die Verbindung von Skripten in Java- und Python-Sprachen.
- Verfügbarkeit von Mitteln für die Teamarbeit von Forschungsteams und die Koordination der Arbeit während des Reverse Engineering sehr großer Projekte.
Seltsamerweise Einige Stunden nach der Veröffentlichung von Ghidra stellte das Paket eine Sicherheitslücke in der Implementierung des Debug-Modus fest (standardmäßig deaktiviert), wodurch der Netzwerkport 18001 für das Debuggen von Remoteanwendungen mithilfe des JDWP (Java Debug Wire Protocol) geöffnet wird.
Standardmäßig, Netzwerkverbindungen wurden auf allen verfügbaren Netzwerkschnittstellen anstelle von 127.0.0.1 hergestelltwas Ermöglicht es Ihnen, von anderen Systemen aus eine Verbindung zu Ghidra herzustellen und beliebigen Code im Kontext der Anwendung auszuführen.
Sie können beispielsweise eine Verbindung zu einem Debugger herstellen und die Ausführung abbrechen, indem Sie einen Haltepunkt festlegen und Ihren Code für die weitere Ausführung mit dem Befehl "Neu drucken" ersetzen, z. B. »
drucke neue java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') ».
Außerdem undEs ist möglich, die Veröffentlichung einer fast vollständig überarbeiteten Ausgabe des offenen interaktiven Disassemblers REDasm 2.0 zu beobachten.
Das Programm verfügt über eine erweiterbare Architektur, mit der Sie Treiber für zusätzliche Befehlssätze und Dateiformate in Form von Modulen verbinden können. Der Projektcode ist in C ++ (Qt-basierte Schnittstelle) geschrieben und unter der GPLv3-Lizenz verteilt. Arbeit unterstützt unter Windows und Linux.
Das Basispaket unterstützt die Firmware-Formate PE, ELF und DEX (Android Dalvik), Sony Playstation, XBox, GameBoy und Nintendo64. Von den Befehlssätzen werden x86, x86_64, MIPS, ARMv7, Dalvik und CHIP-8 unterstützt.
Unter den Funktionen, Wir können die Unterstützung für die interaktive Visualisierung im IDA-Stil, die Analyse von Multithread-Anwendungen, erwähnen, die Erstellung eines visuellen Fortschrittsdiagramms, die Verarbeitung digitaler Signaturen (die mit SDB-Dateien arbeitet) und die Tools für das Projektmanagement.
Wie installiere ich Ghidra?
Für diejenigen, die daran interessiert sind, dies zu installieren Reverse Engineering Toolkit "Ghidra",, Sie sollten wissen, dass sie mindestens haben müssen:
- 4 GB RAM
- 1 GB für Kit-Speicher
- Lassen Sie Java 11 Runtime und das Development Kit (JDK) installieren.
Um Ghidra herunterzuladen, müssen wir auf die offizielle Website gehen, auf der wir herunterladen können. Der Link ist dies.
Das alleine gemacht Sie müssen das heruntergeladene Paket entpacken und im Verzeichnis finden wir die Datei "ghidraRun", in der das Kit ausgeführt wird.
Wenn Sie mehr darüber wissen möchten, können Sie besuchen den folgenden Link.