Ghidra, une boîte à outils de rétro-ingénierie NSA

Darkcrizt

Minutes 4

Ghidra

Pendant la conférence RSA La National Security Agency des États-Unis a annoncé l'ouverture de l'accès à la boîte à outils de rétro-ingénierie «Ghidra», qui comprend un désassembleur interactif prenant en charge la décompilation du code C et fournit des outils puissants pour analyser les exécutables.

Le projet Il est en développement depuis près de 20 ans et est activement utilisé par les agences de renseignement américaines.. Pour identifier les signets, analyser le code malveillant, étudier divers fichiers exécutables et analyser le code compilé.

Pour ses capacités, le produit est comparable à la version étendue du package propriétaire IDA Pro, mais il est conçu exclusivement pour l'analyse de code et n'inclut pas de débogueur.

En outre, Ghidra prend en charge la décompilation en pseudocode qui ressemble à C (dans IDA, cette fonctionnalité est disponible via des plugins tiers), ainsi que des outils plus puissants pour l'analyse conjointe des fichiers exécutables.

Caractéristiques principales

Dans la boîte à outils de rétro-ingénierie Ghidra, nous pouvons trouver les éléments suivants:

  • Prise en charge de divers ensembles d'instructions de processeur et de formats de fichiers exécutables.
  • Analyse de la prise en charge des fichiers exécutables pour Linux, Windows et macOS.
  • Il comprend un désassembleur, un assembleur, un décompilateur, un générateur graphique d'exécution de programme, un module d'exécution de scripts et un grand ensemble d'outils auxiliaires.
  • Capacité à performer en modes interactifs et automatiques.
  • Prise en charge des plug-ins avec l'implémentation de nouveaux composants.
  • Prise en charge de l'automatisation des actions et de l'extension des fonctionnalités existantes via la connexion de scripts dans les langages Java et Python.
  • Disponibilité de fonds pour le travail d'équipe des équipes de recherche et la coordination des travaux lors de l'ingénierie inverse de très grands projets.

Avec curiosité, quelques heures après la sortie de Ghidra, le paquet a trouvé une vulnérabilité dans l'implémentation du mode débogage (désactivé par défaut), qui ouvre le port réseau 18001 pour le débogage à distance de l'application à l'aide du JDWP (Java Debug Wire Protocol).

Par défaut, les connexions réseau ont été établies sur toutes les interfaces réseau disponibles, au lieu de 127.0.0.1quoi vous permet de vous connecter à Ghidra à partir d'autres systèmes et d'exécuter n'importe quel code dans le contexte de l'application.

Par exemple, vous pouvez vous connecter à un débogueur et interrompre l'exécution en définissant un point d'arrêt et remplacer votre code pour une exécution ultérieure en utilisant la commande "imprimer nouveau", par exemple,
affiche le nouveau java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') ».

En outre, etIl est possible d'observer la publication d'une édition presque entièrement révisée du désassembleur interactif ouvert REDasm 2.0.

Le programme a une architecture extensible qui vous permet de connecter des pilotes pour des ensembles supplémentaires d'instructions et des formats de fichiers sous forme de modules. Le code du projet est écrit en C ++ (interface basée sur Qt) et distribué sous la licence GPLv3. Travail pris en charge sous Windows et Linux.

Le package de base prend en charge les formats de micrologiciel PE, ELF, DEX (Android Dalvik), Sony Playstation, XBox, GameBoy et Nintendo64. Parmi les jeux d'instructions, x86, x86_64, MIPS, ARMv7, Dalvik et CHIP-8 sont pris en charge.

Parmi les fonctionnalités, on peut citer le support de la visualisation interactive dans le style IDA, l'analyse des applications multi-thread, la construction d'un diagramme d'avancement visuel, le moteur de traitement de signature numérique (qui fonctionne avec des fichiers SDB) et les outils de gestion de projet.

Comment installer Ghidra?

Pour ceux qui souhaitent pouvoir installer ceci Boîte à outils de rétro-ingénierie «Ghidra»,, Ils doivent savoir qu'ils doivent avoir au moins:

  • 4 Go de RAM
  • 1 Go pour le stockage du kit
  • Installez Java 11 Runtime and Development Kit (JDK).

Pour télécharger Ghidra, nous devons aller sur son site officiel où nous pouvons télécharger. Le lien est le suivant.

J'ai fait ça seul Ils devront décompresser le package téléchargé et dans le répertoire nous trouverons le fichier "ghidraRun" qui exécutera le kit.

Si vous voulez en savoir plus, vous pouvez visiter le lien suivant.


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués avec *

*

*

  1. Responsable des données: Miguel Ángel Gatón
  2. Finalité des données: Contrôle du SPAM, gestion des commentaires.
  3. Légitimation: votre consentement
  4. Communication des données: Les données ne seront pas communiquées à des tiers sauf obligation légale.
  5. Stockage des données: base de données hébergée par Occentus Networks (EU)
  6. Droits: à tout moment, vous pouvez limiter, récupérer et supprimer vos informations.