Ghidra, un toolkit di reverse engineering della NSA

Ghidra

Durante la conferenza RSA La US National Security Agency ha annunciato l'apertura dell'accesso al "Ghidra" Reverse Engineering Toolkit, che include un disassemblatore interattivo con supporto per la decompilazione del codice C e fornisce potenti strumenti per l'analisi degli eseguibili.

El proyecto È in sviluppo da quasi 20 anni ed è utilizzato attivamente dalle agenzie di intelligence statunitensi.. Per identificare i segnalibri, analizzare il codice dannoso, studiare vari file eseguibili e analizzare il codice compilato.

Per le sue capacità, il prodotto è paragonabile alla versione estesa del pacchetto proprietario IDA Pro, ma è progettato esclusivamente per l'analisi del codice e non include un debugger.

Inoltre, Ghidra ha il supporto per la decompilazione in pseudocodice che assomiglia a C (in IDA, questa funzione è disponibile tramite plug-in di terze parti), così come strumenti più potenti per l'analisi congiunta dei file eseguibili.

caratteristiche principali

All'interno del toolkit di reverse engineering di Ghidra possiamo trovare quanto segue:

  • Supporto per vari set di istruzioni del processore e formati di file eseguibili.
  • Analisi del supporto di file eseguibili per Linux, Windows e macOS.
  • Include un disassemblatore, un assemblatore, un decompilatore, un generatore di grafici di esecuzione del programma, un modulo per eseguire script e un ampio set di strumenti ausiliari.
  • Capacità di eseguire in modalità interattiva e automatica.
  • Supporto plug-in con l'implementazione di nuovi componenti.
  • Supporto per l'automazione delle azioni e l'estensione delle funzionalità esistenti tramite la connessione di script nei linguaggi Java e Python.
  • Disponibilità di fondi per il lavoro di squadra dei gruppi di ricerca e coordinamento del lavoro durante il reverse engineering di progetti molto grandi.

Curiosamente, poche ore dopo il rilascio di Ghidra, il pacchetto ha rilevato una vulnerabilità nell'implementazione della modalità di debug (disabilitato per impostazione predefinita), che apre la porta di rete 18001 per il debug dell'applicazione remota utilizzando il protocollo JDWP (Java Debug Wire Protocol).

Per impostazione predefinita, le connessioni di rete sono state effettuate su tutte le interfacce di rete disponibili, invece di 127.0.0.1cosa consente di connettersi a Ghidra da altri sistemi ed eseguire qualsiasi codice nel contesto dell'applicazione.

Ad esempio, puoi connetterti a un debugger e interrompere l'esecuzione impostando un punto di interruzione e sostituire il codice per un'ulteriore esecuzione utilizzando il comando "stampa nuovo", ad esempio »
stampa nuovo java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') ».

Inoltre, eÈ possibile assistere alla pubblicazione di un'edizione quasi completamente rivista del disassemblatore interattivo aperto REDasm 2.0.

Il programma ha un'architettura estensibile che consente di collegare i driver per ulteriori set di istruzioni e formati di file sotto forma di moduli. Il codice del progetto è scritto in C ++ (interfaccia basata su Qt) e distribuito sotto licenza GPLv3. Lavoro supportato su Windows e Linux.

Il pacchetto base supporta i formati firmware PE, ELF, DEX (Android Dalvik), Sony Playstation, XBox, GameBoy e Nintendo64. Dei set di istruzioni, sono supportati x86, x86_64, MIPS, ARMv7, Dalvik e CHIP-8.

Tra le caratteristiche, possiamo citare il supporto per la visualizzazione interattiva in stile IDA, l'analisi di applicazioni multi-thread, la costruzione di un grafico di avanzamento visivo, il motore di elaborazione della firma digitale (che funziona con i file SDB) e gli strumenti per la gestione del progetto.

Come installare Ghidra?

Per chi è interessato a poterlo installare Toolkit di ingegneria inversa "Ghidra"`` Dovrebbero sapere che devono avere almeno:

  • 4 GB di RAM
  • 1 GB per l'archiviazione del kit
  • Avere Java 11 Runtime and Development Kit (JDK) installato.

Per scaricare Ghidra dobbiamo andare sul suo sito ufficiale dove possiamo scaricare. Il collegamento è questo.

Fatto da solo Dovranno decomprimere il pacchetto scaricato e all'interno della directory troveremo il file "ghidraRun" che eseguirà il kit.

Se vuoi saperne di più puoi visitare il seguente collegamento.


Puoi essere il primo a lasciare un commento

Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.