RSA konverentsi ajal USA riiklik julgeolekubüroo teatas, et avatakse juurdepääs pöördtehnoloogia tööriistakomplektile Ghidra, mis sisaldab interaktiivset demonteerijat, mis toetab C-koodi dekompileerimist ja pakub võimsaid tööriistu käivitatavate failide analüüsimiseks.
El proyecto Seda on arendatud juba ligi 20 aastat ja seda kasutavad aktiivselt USA luureagentuurid.. Järjehoidjate tuvastamiseks, pahatahtliku koodi analüüsimiseks, erinevate käivitatavate failide uurimiseks ja kompileeritud koodi analüüsimiseks.
Selle võimaluste toode on võrreldav IDA Pro patenteeritud paketi laiendatud versiooniga, kuid see on mõeldud ainult koodianalüüsiks ja ei sisalda silurit.
Lisaks Ghidral on toetus dekompileerimiseks pseudokoodiks, mis näeb välja nagu C (IDA-s on see funktsioon saadaval kolmandate osapoolte pistikprogrammide kaudu), samuti võimsamad tööriistad käivitatavate failide ühiseks analüüsimiseks.
põhijooned
Ghidra pöördtehnoloogia tööriistakomplektist leiate järgmise:
- Erinevate protsessori juhiste ja käivitatavate failivormingute tugi.
- Linuxi, Windowsi ja macOS-i käivitatavate failide tugianalüüs.
- See sisaldab lahtivõtjat, monteerijat, dekompilaatorit, programmi täitmise graafika generaatorit, skriptide käivitamise moodulit ja suurt komplekti abivahendeid.
- Võime esineda interaktiivsetes ja automaatsetes režiimides.
- Pistikprogrammide tugi uute komponentide rakendamisel.
- Toetus toimingute automatiseerimiseks ja olemasoleva funktsionaalsuse laiendamiseks Java ja Pythoni keeltes olevate skriptide ühendamise kaudu.
- Rahaliste vahendite olemasolu uurimisrühmade meeskonnatööks ja töö koordineerimiseks väga suurte projektide pöördprojekteerimisel.
Uudishimulikult, mõni tund pärast Ghidra väljaandmist leidis pakett silumisrežiimi juurutamisel haavatavuse (vaikimisi keelatud), mis avab võrgupordi 18001 rakenduse kaugsilumiseks Java Debug Wire Protocol (JDWP) abil.
Algselt, võrguühendused tehti 127.0.0.1 asemel kõigil saadaolevatel võrguliidestel, mida sa võimaldab teil ühenduse luua Ghidraga teistest süsteemidest ja käivitada mis tahes koodi rakenduse kontekstis.
Näiteks saate ühendada siluriga ja katkestada täitmise, määrates katkestuspunkti ja asendades oma koodi edasiseks täitmiseks käsuga "print new", näiteks:
printige uus java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') ».
Pealegi jaVõimalik on jälgida avatud interaktiivse lahtimonteerija REDasm 2.0 peaaegu täielikult muudetud väljaande avaldamist.
Programmil on laiendatav arhitektuur, mis võimaldab ühendada draiverid täiendavate juhiste ja failivormingute komplektide jaoks moodulite kujul. Projekti kood kirjutatakse C ++ keeles (Qt-põhine liides) ja levitatakse GPLv3 litsentsi all. Töö on toetatud Windowsis ja Linuxis.
Põhipakett toetab PE, ELF, DEX püsivara formaate (Android Dalvik), Sony Playstation, XBox, GameBoy ja Nintendo64. Käsukomplektidest toetatakse x86, x86_64, MIPS, ARMv7, Dalvik ja CHIP-8.
Funktsioonide hulgas on võime mainida IDA stiilis interaktiivse visualiseerimise tuge, mitmekeermeliste rakenduste analüüsi, visuaalse edusammude, digitaalse allkirja töötlemise mootori (mis töötab SDB-failidega) ja projektijuhtimise tööriistade koostamine.
Kuidas Ghidrat installida?
Neile, kes on huvitatud selle installimisest Pöördtehnoloogia tööriistakomplekt “Ghidra”,, Nad peaksid teadma, et neil peab olema vähemalt:
- 4 GB RAM
- 1 GB komplekti salvestamiseks
- Laske installida Java 11 Runtime and Development Kit (JDK).
Ghidra allalaadimiseks peame minema selle ametlikule veebisaidile, kust saame seda alla laadida. Link on see.
Tehti seda üksi Nad peavad allalaaditud paketi lahti pakkima ja kataloogist leiame faili "ghidraRun", mis käivitab komplekti.
Kui soovite selle kohta rohkem teada saada, võite külastada järgmine link.