RSA 회의 중 미국 국가 안보국은 "Ghidra"리버스 엔지니어링 툴킷에 대한 액세스를 공개한다고 발표했습니다., C 코드 디 컴파일을 지원하는 대화 형 디스어셈블러를 포함하고 실행 파일을 분석하기위한 강력한 도구를 제공합니다.
프로젝트 거의 20 년 동안 개발 중이며 미국 정보 기관에서 적극적으로 사용하고 있습니다.. 북마크 식별, 악성 코드 분석, 다양한 실행 파일 연구, 컴파일 된 코드 분석
그 기능에 대해 제품은 IDA Pro 독점 패키지의 확장 버전과 유사합니다.하지만 코드 분석 전용으로 설계되었으며 디버거가 포함되어 있지 않습니다.
또한, Ghidra는 C처럼 보이는 의사 코드로의 디 컴파일을 지원합니다. (IDA에서이 기능은 타사 플러그인을 통해 사용할 수 있습니다), 실행 파일의 공동 분석을위한보다 강력한 도구를 제공합니다.
주요 기능
Ghidra 리버스 엔지니어링 툴킷에서 다음을 찾을 수 있습니다.
- 다양한 프로세서 명령 및 실행 파일 형식을 지원합니다.
- Linux, Windows 및 macOS 용 실행 파일 지원 분석.
- 여기에는 디스어셈블러, 어셈블러, 디 컴파일러, 프로그램 실행 그래프 생성기, 스크립트 실행을위한 모듈 및 대규모 보조 도구 세트가 포함됩니다.
- 대화 형 및 자동 모드에서 수행 할 수있는 기능.
- 새로운 구성 요소 구현을 통한 플러그인 지원.
- Java 및 Python 언어로 된 스크립트 연결을 통해 작업 자동화 및 기존 기능 확장을 지원합니다.
- 대규모 프로젝트의 리버스 엔지니어링 중 연구 팀의 팀워크 및 작업 조정을위한 자금 가용성.
흥미롭게도 Ghidra가 출시 된 지 몇 시간 후, 패키지는 디버그 모드 구현에서 취약점을 발견했습니다. (기본적으로 비활성화 됨) JDWP (Java Debug Wire Protocol)를 사용하여 원격 애플리케이션 디버깅을 위해 네트워크 포트 18001을 엽니 다.
기본적으로, 네트워크 연결은 127.0.0.1 대신 사용 가능한 모든 네트워크 인터페이스에서 이루어졌습니다., 무엇을 다른 시스템에서 Ghidra에 연결하고 애플리케이션 컨텍스트에서 모든 코드를 실행할 수 있습니다.
예를 들어, 디버거에 연결하고 중단 점을 설정하여 실행을 중단하고 "print new"명령을 사용하여 추가 실행을 위해 코드를 대체 할 수 있습니다 (예 :»
print new java.lang.Runtime () .exec ( '/ bin / mkdir / tmp / dir')».
게다가개방형 인터랙티브 디스어셈블러 REDasm 2.0의 거의 완전히 수정 된 에디션의 발행을 관찰 할 수 있습니다.
이 프로그램에는 모듈 형태의 추가 명령 및 파일 형식 세트에 대한 드라이버를 연결할 수있는 확장 가능한 아키텍처가 있습니다. 프로젝트 코드는 C ++ (Qt 기반 인터페이스)로 작성되었으며 GPLv3 라이선스에 따라 배포됩니다. Windows 및 Linux에서 지원되는 작업입니다.
기본 패키지는 PE, ELF, DEX 펌웨어 형식을 지원합니다. (Android Dalvik), Sony Playstation, XBox, GameBoy 및 Nintendo64. 명령어 세트 중 x86, x86_64, MIPS, ARMv7, Dalvik 및 CHIP-8이 지원됩니다.
기능 중 다중 스레드 응용 프로그램의 분석 인 IDA 스타일의 대화 형 시각화 지원에 대해 언급 할 수 있습니다., 시각적 진행 차트, 디지털 서명 처리 엔진 (SDB 파일과 함께 작동) 및 프로젝트 관리를위한 도구의 구성.
Ghidra를 설치하는 방법?
이것을 설치할 수있는 것에 관심이있는 사람들을 위해 리버스 엔지니어링 툴킷“Ghidra”,, 최소한 다음이 있어야한다는 것을 알아야합니다.
- 4 GB RAM
- 키트 스토리지 용 1GB
- Java 11 런타임 및 개발 키트 (JDK)가 설치되어 있어야합니다.
Ghidra를 다운로드하려면 다운로드 할 수있는 공식 웹 사이트로 이동해야합니다. 링크는 이쪽입니다.
혼자서 다운로드 한 패키지의 압축을 풀어야하며 디렉토리 안에 키트를 실행할 "ghidraRun"파일이 있습니다.
그것에 대해 더 알고 싶다면 방문 할 수 있습니다. 다음 링크.