Selama konferensi RSA Badan Keamanan Nasional AS mengumumkan pembukaan akses ke Perangkat Rekayasa Terbalik “Ghidra”, yang mencakup disassembler interaktif dengan dukungan untuk mendekompilasi kode C dan menyediakan alat canggih untuk menganalisis file yang dapat dieksekusi.
Proyek Ini telah dikembangkan selama hampir 20 tahun dan secara aktif digunakan oleh badan intelijen AS.. Untuk mengidentifikasi bookmark, menganalisis kode berbahaya, mempelajari berbagai file yang dapat dijalankan, dan menganalisis kode yang dikompilasi.
Untuk kemampuannya, produk ini sebanding dengan versi perpanjangan dari paket kepemilikan IDA Pro, tetapi dirancang khusus untuk analisis kode dan tidak menyertakan debugger.
Selain itu, Ghidra memiliki dukungan untuk mendekompilasi menjadi pseudocode yang terlihat seperti C (di IDA, fitur ini tersedia melalui plugin pihak ketiga), serta alat yang lebih kuat untuk analisis bersama dari file yang dapat dieksekusi.
Fitur utama
Di dalam toolkit rekayasa balik Ghidra kita dapat menemukan yang berikut ini:
- Dukungan untuk berbagai set instruksi prosesor dan format file yang dapat dieksekusi.
- Analisis dukungan file yang dapat dijalankan untuk Linux, Windows dan macOS.
- Ini mencakup disassembler, assembler, decompiler, generator grafik eksekusi program, modul untuk mengeksekusi skrip dan seperangkat alat bantu yang besar.
- Kemampuan untuk tampil dalam mode interaktif dan otomatis.
- Dukungan plug-in dengan implementasi komponen baru.
- Dukungan untuk mengotomatiskan tindakan dan memperluas fungsionalitas yang ada melalui koneksi skrip dalam bahasa Java dan Python.
- Ketersediaan dana untuk kerja tim tim peneliti dan koordinasi kerja selama rekayasa ulang proyek yang sangat besar.
Anehnya, beberapa jam setelah rilis Ghidra, paket tersebut menemukan kerentanan dalam implementasi mode debug (dinonaktifkan secara default), yang membuka port jaringan 18001 untuk debugging jarak jauh aplikasi menggunakan JDWP (Java Debug Wire Protocol).
Secara default, koneksi jaringan dibuat pada semua antarmuka jaringan yang tersedia, bukan 127.0.0.1, apa kamu memungkinkan Anda untuk terhubung ke Ghidra dari sistem lain dan menjalankan kode apa pun dalam konteks aplikasi.
Misalnya, Anda dapat terhubung ke debugger dan membatalkan eksekusi dengan menyetel breakpoint dan mengganti kode Anda untuk eksekusi lebih lanjut menggunakan perintah "print new", misalnya, »
cetak java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') baru ».
Selain itu, danDimungkinkan untuk mengamati publikasi edisi yang hampir sepenuhnya direvisi dari disassembler interaktif terbuka REDasm 2.0.
Program ini memiliki arsitektur yang dapat diperluas yang memungkinkan Anda untuk menghubungkan driver untuk set instruksi tambahan dan format file dalam bentuk modul. Kode proyek ditulis dalam C ++ (antarmuka berbasis Qt) dan didistribusikan di bawah lisensi GPLv3. Pekerjaan didukung di Windows dan Linux.
Paket dasar mendukung format firmware PE, ELF, DEX (Android Dalvik), Sony Playstation, XBox, GameBoy, dan Nintendo64. Dari set instruksi, x86, x86_64, MIPS, ARMv7, Dalvik, dan CHIP-8 didukung.
Diantara fiturnya, kami dapat menyebutkan dukungan untuk visualisasi interaktif dalam gaya IDA, analisis aplikasi multi-threaded, pembuatan bagan kemajuan visual, mesin pengolah tanda tangan digital (yang bekerja dengan file SDB) dan alat untuk manajemen proyek.
Bagaimana cara menginstal Ghidra?
Bagi yang berminat bisa menginstal ini Perangkat Rekayasa Terbalik "Ghidra",, Mereka harus tahu bahwa mereka harus memiliki setidaknya:
- 4 GB RAM
- 1 GB untuk penyimpanan Kit
- Instal Java 11 Runtime and Development Kit (JDK).
Untuk mendownload Ghidra kita harus pergi ke situs resminya dimana kita bisa mendownload. Tautannya adalah ini.
Lakukan ini sendiri Mereka harus mengekstrak paket yang diunduh dan di dalam direktori kita akan menemukan file "ghidraRun" yang akan menjalankan kit.
Jika Anda ingin tahu lebih banyak tentangnya, Anda dapat mengunjungi link berikut.