Κατά τη διάρκεια του συνεδρίου RSA Ο Οργανισμός Εθνικής Ασφάλειας των ΗΠΑ ανακοίνωσε το άνοιγμα της πρόσβασης στο "Ghidra" Reverse Engineering Toolkit, το οποίο περιλαμβάνει ένα διαδραστικό αποσυναρμολογητή με υποστήριξη για την αποκωδικοποίηση κώδικα C και παρέχει ισχυρά εργαλεία για την ανάλυση εκτελέσιμων.
Το έργο Αναπτύχθηκε για σχεδόν 20 χρόνια και χρησιμοποιείται ενεργά από τις υπηρεσίες πληροφοριών των ΗΠΑ.. Για να εντοπίσετε σελιδοδείκτες, να αναλύσετε κακόβουλο κώδικα, να μελετήσετε διάφορα εκτελέσιμα αρχεία και να αναλύσετε τον μεταγλωττισμένο κώδικα.
Για τις δυνατότητές του, το προϊόν είναι συγκρίσιμο με την εκτεταμένη έκδοση του ιδιόκτητου πακέτου IDA Pro, αλλά έχει σχεδιαστεί αποκλειστικά για ανάλυση κώδικα και δεν περιλαμβάνει πρόγραμμα εντοπισμού σφαλμάτων.
Επιπλέον, Το Ghidra έχει υποστήριξη για αποσύνθεση σε ψευδοκώδικα που μοιάζει με C (στο IDA, αυτή η δυνατότητα είναι διαθέσιμη μέσω προσθηκών τρίτων), καθώς και πιο ισχυρά εργαλεία για κοινή ανάλυση εκτελέσιμων αρχείων.
Κύρια χαρακτηριστικά
Μέσα στο κιτ εργαλείων αντίστροφης μηχανικής Ghidra μπορούμε να βρούμε τα εξής:
- Υποστήριξη για διάφορα σύνολα οδηγιών επεξεργαστή και εκτελέσιμων μορφών αρχείων.
- Εκτελέσιμη ανάλυση υποστήριξης αρχείων για Linux, Windows και macOS.
- Περιλαμβάνει έναν αποσυναρμολογητή, έναν συναρμολογητή, έναν αποκωδικοποιητή, μια γεννήτρια γραφημάτων εκτέλεσης προγράμματος, μια ενότητα για την εκτέλεση σεναρίων και ένα μεγάλο σύνολο βοηθητικών εργαλείων.
- Δυνατότητα απόδοσης σε διαδραστικές και αυτόματες λειτουργίες.
- Υποστήριξη προσθήκης με την εφαρμογή νέων στοιχείων.
- Υποστήριξη για αυτοματοποίηση ενεργειών και επέκταση υπάρχουσας λειτουργικότητας μέσω της σύνδεσης σεναρίων σε γλώσσες Java και Python.
- Διαθεσιμότητα κονδυλίων για ομαδική εργασία ερευνητικών ομάδων και συντονισμός εργασιών κατά την αντίστροφη μηχανική πολύ μεγάλων έργων.
Περιέργως, λίγες ώρες μετά την κυκλοφορία του Ghidra, το πακέτο βρήκε μια ευπάθεια στην υλοποίηση της λειτουργίας εντοπισμού σφαλμάτων (απενεργοποιημένη από προεπιλογή), η οποία ανοίγει τη θύρα δικτύου 18001 για απομακρυσμένο εντοπισμό σφαλμάτων της εφαρμογής χρησιμοποιώντας το JDWP (Java Debug Wire Protocol).
Από προεπιλογή, οι συνδέσεις δικτύου έγιναν σε όλες τις διαθέσιμες διεπαφές δικτύου, αντί για 127.0.0.1, τι εσύ σας επιτρέπει να συνδεθείτε στο Ghidra από άλλα συστήματα και να εκτελέσετε οποιονδήποτε κώδικα στο πλαίσιο της εφαρμογής.
Για παράδειγμα, μπορείτε να συνδεθείτε σε ένα πρόγραμμα εντοπισμού σφαλμάτων και να ακυρώσετε την εκτέλεση ορίζοντας ένα σημείο διακοπής και να αντικαταστήσετε τον κωδικό σας για περαιτέρω εκτέλεση χρησιμοποιώντας την εντολή "εκτύπωση νέου", για παράδειγμα, »
εκτύπωση νέου java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') ».
Άλλωστε, καιΕίναι δυνατόν να παρατηρηθεί η δημοσίευση μιας σχεδόν πλήρως αναθεωρημένης έκδοσης του ανοιχτού διαδραστικού αποσυναρμολογητή REDasm 2.0.
Το πρόγραμμα έχει μια επεκτάσιμη αρχιτεκτονική που σας επιτρέπει να συνδέσετε προγράμματα οδήγησης για πρόσθετα σύνολα οδηγιών και μορφών αρχείων με τη μορφή ενοτήτων. Ο κωδικός του έργου είναι γραμμένος σε C ++ (διασύνδεση με βάση το Qt) και διανέμεται με την άδεια GPLv3. Υποστηρίζεται εργασία σε Windows και Linux.
Το βασικό πακέτο υποστηρίζει μορφές υλικολογισμικού PE, ELF, DEX (Android Dalvik), Sony Playstation, XBox, GameBoy και Nintendo64. Από τα σύνολα οδηγιών, υποστηρίζονται x86, x86_64, MIPS, ARMv7, Dalvik και CHIP-8.
Μεταξύ των χαρακτηριστικών, μπορούμε να αναφέρουμε την υποστήριξη για τη διαδραστική οπτικοποίηση σε στυλ IDA, την ανάλυση εφαρμογών πολλαπλών νημάτων, η κατασκευή ενός οπτικού γραφήματος προόδου, η μηχανή επεξεργασίας ψηφιακών υπογραφών (που λειτουργεί με αρχεία SDB) και τα εργαλεία για τη διαχείριση έργων.
Πώς να εγκαταστήσετε το Ghidra;
Για όσους ενδιαφέρονται να μπορέσουν να το εγκαταστήσουν Εργαλειοθήκη αντίστροφης μηχανικής "Ghidra",, Πρέπει να γνωρίζουν ότι πρέπει να έχουν τουλάχιστον:
- 4 GB RAM
- 1 GB για αποθήκευση κιτ
- Εγκαταστήστε το Java 11 Runtime και το κιτ ανάπτυξης (JDK).
Για να κατεβάσετε το Ghidra πρέπει να μεταβούμε στον επίσημο ιστότοπό του όπου μπορούμε να κατεβάσουμε. Ο σύνδεσμος είναι αυτό.
Μόνο αυτό Θα πρέπει να αποσυμπιέσουν το ληφθέν πακέτο και μέσα στον κατάλογο θα βρούμε το αρχείο "ghidraRun" που θα τρέξει το κιτ.
Αν θέλετε να μάθετε περισσότερα για αυτό μπορείτε να επισκεφθείτε τον ακόλουθο σύνδεσμο.