RSA会議中 米国国家安全保障局は、「Ghidra」リバースエンジニアリングツールキットへのアクセスの開始を発表しました、Cコードの逆コンパイルをサポートする対話型逆アセンブラが含まれ、実行可能ファイルを分析するための強力なツールを提供します。
プロジェクト それはほぼ20年間開発されており、米国の諜報機関によって積極的に使用されています。。 ブックマークを特定するには、悪意のあるコードを分析し、さまざまな実行可能ファイルを調べ、コンパイルされたコードを分析します。
その機能については、 この製品は、IDAPro独自のパッケージの拡張バージョンに相当します。、ただし、コード分析専用に設計されており、デバッガーは含まれていません。
さらに、 Ghidraは、Cのような擬似コードへの逆コンパイルをサポートしています。 (IDAでは、この機能はサードパーティのプラグインから利用できます)、 実行可能ファイルの共同分析のためのより強力なツールと同様に。
主要な機能
Ghidraリバースエンジニアリングツールキットには、次のものがあります。
- プロセッサ命令と実行可能ファイル形式のさまざまなセットのサポート。
- Linux、Windows、macOSの実行可能ファイルサポート分析。
- これには、逆アセンブラ、アセンブラ、逆コンパイラ、プログラム実行グラフィックジェネレータ、スクリプトを実行するためのモジュール、および多数の補助ツールのセットが含まれています。
- インタラクティブモードと自動モードで実行する機能。
- 新しいコンポーネントの実装によるプラグインのサポート。
- JavaおよびPython言語のスクリプトを接続することにより、アクションを自動化し、既存の機能を拡張するためのサポート。
- 研究チームのチームワークおよび非常に大規模なプロジェクトのリバースエンジニアリング中の作業の調整のための資金の利用可能性。
不思議なことに、 Ghidraのリリースから数時間後、パッケージはデバッグモードの実装に脆弱性を発見しました (デフォルトでは無効)。これにより、Java Debug Wire Protocol(JDWP)を使用したリモートアプリケーションデバッグ用にネットワークポート18001が開きます。
デフォルトでは、 ネットワーク接続は、127.0.0.1ではなく、使用可能なすべてのネットワークインターフェイスで行われました。、あなたは何 他のシステムからGhidraに接続し、アプリケーションのコンテキストで任意のコードを実行できます。
たとえば、デバッガに接続し、ブレークポイントを設定して実行を中止し、「print new」コマンドを使用して、コードをコードに置き換えてさらに実行することができます。たとえば、»
print new java.lang.Runtime()。exec( '/ bin / mkdir / tmp / dir')»。
その上、そしてオープンインタラクティブ逆アセンブラREDasm2.0のほぼ完全に改訂されたエディションの公開を観察することができます。
このプログラムには拡張可能なアーキテクチャがあり、モジュールの形式で追加の命令セットとファイル形式のドライバを接続できます。 プロジェクトコードはC ++(Qtベースのインターフェイス)で記述され、GPLv3ライセンスの下で配布されます。 WindowsとLinuxでサポートされている作業。
基本パッケージは、PE、ELF、DEXファームウェアフォーマットをサポートします (Android Dalvik)、Sony Playstation、XBox、GameBoy、Nintendo64。 命令セットのうち、x86、x86_64、MIPS、ARMv7、Dalvik、およびCHIP-8がサポートされています。
機能の中で、 IDAスタイルでのインタラクティブな視覚化、マルチスレッドアプリケーションの分析のサポートについて言及できます。、視覚的な進捗チャートの作成、デジタル署名処理エンジン(SDBファイルで動作)、およびプロジェクト管理用のツール。
Ghidraをインストールするにはどうすればいいですか?
これをインストールできることに興味がある人のために リバースエンジニアリングツールキット「Ghidra」、、彼らは少なくとも持っている必要があることを知っている必要があります:
- 4 GBのRAM
- キットストレージ用に1GB
- Java 11ランタイムと開発キット(JDK)がインストールされている。
Ghidraをダウンロードするには、ダウンロードできる公式Webサイトにアクセスする必要があります。 リンクはこちらです。
これを一人でやった ダウンロードしたパッケージを解凍する必要があります。ディレクトリ内に、キットを実行するファイル「ghidraRun」があります。
あなたがそれについてもっと知りたいならば、あなたは訪問することができます 次のリンク。