RSA konferencijos metu JAV Nacionalinio saugumo agentūra paskelbė atverianti prieigą prie „Ghidra“ atvirkštinės inžinerijos priemonių rinkinio, kuriame yra interaktyvus išardiklis su C kodo dekompiliavimo palaikymu ir pateikiami galingi vykdomųjų failų analizės įrankiai.
El proyecto buvo kuriamas beveik 20 metų ir yra aktyviai naudojamas JAV žvalgybos agentūrų. Norėdami atpažinti žymeklius, analizuoti kenkėjišką kodą, studijuoti įvairius vykdomuosius failus ir analizuoti sukompiliuotą kodą.
Dėl savo galimybių, produktas yra panašus į išplėstinę patentuoto IDA Pro paketo versiją, tačiau jis skirtas išskirtinai kodo analizei ir neapima derinimo priemonės.
Be to, Ghidra palaiko dekompiliavimą į pseudokodą, kuris atrodo kaip C (IDA ši funkcija pasiekiama naudojant trečiųjų šalių papildinius), taip pat galingesni įrankiai bendrai vykdomųjų failų analizei.
pagrindinės funkcijos
„Ghidra“ atvirkštinės inžinerijos įrankių rinkinyje galime rasti:
- Įvairių procesoriaus komandų rinkinių ir vykdomųjų failų formatų palaikymas.
- „Linux“, „Windows“ ir „MacOS“ vykdomųjų failų analizės palaikymas.
- Jį sudaro išardiklis, surinkėjas, dekompiliatorius, programos vykdymo grafikų generatorius, scenarijų vykdymo modulis ir didelis pagalbinių įrankių rinkinys.
- Gebėjimas atlikti interaktyviais ir automatiniais režimais.
- Papildinių palaikymas diegiant naujus komponentus.
- Veiksmų automatizavimo ir esamų funkcijų išplėtimo palaikymas sujungiant scenarijus Java ir Python kalbomis.
- Lėšų prieinamumas tyrėjų grupių komandiniam darbui ir darbo koordinavimui vykdant labai didelių projektų atvirkštinę inžineriją.
Įdomu, Praėjus kelioms valandoms po „Ghidra“ išleidimo, paketas aptiko derinimo režimo diegimo pažeidžiamumą (išjungta pagal numatytuosius nustatymus), kuris atidaro tinklo prievadą 18001, kad būtų galima nuotoliniu būdu derinti programą naudojant Java Debug Wire Protocol (JDWP).
Pagal numatytuosius nustatymus tinklo jungtys buvo sukurtos visose prieinamose tinklo sąsajose, o ne 127.0.0.1, ką tu leidžia prisijungti prie Ghidra iš kitų sistemų ir paleisti bet kokį kodą programos kontekste.
Pavyzdžiui, galite prisijungti prie derintuvo ir nutraukti vykdymą nustatydami pertraukos tašką ir pakeisti savo kodą tolesniam vykdymui naudodami komandą „spausdinti naują“, pavyzdžiui, »
spausdinti naują java.lang.Runtime().exec('/bin/mkdir /tmp/dir')».
Be to, irGalima stebėti beveik visiškai pataisytą atvirojo interaktyvaus išmontavimo įrenginio REDasm 2.0 leidimą.
Programa turi išplečiamą architektūrą, leidžiančią prijungti tvarkykles papildomiems instrukcijų rinkiniams ir failų formatams modulių pavidalu. Projekto kodas parašytas C++ (Qt pagrindu sukurta sąsaja) ir platinamas pagal GPLv3 licenciją. Palaikomas darbas su Windows ir Linux.
Pagrindinis paketas palaiko PE, ELF, DEX programinės įrangos formatus („Android Dalvik“), „Sony Playstation“, „XBox“, „GameBoy“ ir „Nintendo64“. Iš instrukcijų rinkinių palaikomi x86, x86_64, MIPS, ARMv7, Dalvik ir CHIP-8.
Tarp funkcijų, galima paminėti interaktyvios vizualizacijos IDA stiliumi palaikymą, kelių gijų programų analizę, sukurti vizualinę eigos diagramą, skaitmeninio parašo apdorojimo variklį (kuris veikia su SDB failais) ir projektų valdymo įrankius.
Kaip įdiegti Ghidra?
Tiems, kurie domisi galimybe tai įdiegti „Ghidra“ atvirkštinės inžinerijos įrankių rinkinysJie turėtų žinoti, kad jie turi turėti bent:
- 4 GB RAM
- 1 GB rinkinio saugykla
- Įdiegę „Java 11 Runtime and Development Kit“ (JDK).
Norėdami atsisiųsti „Ghidra“, turime apsilankyti oficialioje svetainėje, kur galime atsisiųsti. Nuoroda yra tokia.
Tai padarė vienas Jie turės išpakuoti atsisiųstą paketą ir kataloge rasime failą „ghidraRun“, kuris vykdys rinkinį.
Jei norite sužinoti daugiau apie tai, galite apsilankyti šią nuorodą.