RSA konferences laikā ASV Nacionālās drošības aģentūra paziņoja, ka tiek atvērta piekļuve reversās inženierijas rīkkopai “Ghidra”, kas ietver interaktīvu demontētāju ar atbalstu C koda dekompilēšanai un nodrošina jaudīgus rīkus izpildāmo failu analizēšanai.
Projekts Tas ir izstrādāts gandrīz 20 gadus, un to aktīvi izmanto ASV izlūkošanas aģentūras.. Lai identificētu grāmatzīmes, analizētu kaitīgo kodu, izpētītu dažādus izpildāmos failus un analizētu apkopoto kodu.
Par savām iespējām produkts ir salīdzināms ar IDA Pro patentētās pakotnes paplašināto versiju, bet tas ir paredzēts tikai koda analīzei un neietver atkļūdotāju.
Turklāt, Ghidra atbalsta dekompilēšanos pseidokodā, kas izskatās kā C (IDA šī funkcija ir pieejama, izmantojot trešo pušu spraudņus), kā arī jaudīgāki rīki izpildāmo failu kopīgai analīzei.
galvenās iezīmes
Ghidra reversās inženierijas rīku komplektā mēs varam atrast:
- Atbalsts dažādiem procesora instrukciju un izpildāmo failu formātu komplektiem.
- Izpildāmo failu atbalsta analīze Linux, Windows un MacOS.
- Tajā ietilpst demontētājs, montētājs, dekompilators, programmas izpildes grafikas ģenerators, skriptu izpildes modulis un liels palīgrīku komplekts.
- Spēja uzstāties interaktīvā un automātiskā režīmā.
- Spraudņa atbalsts jaunu komponentu ieviešanai.
- Atbalsts darbību automatizēšanai un esošās funkcionalitātes paplašināšanai, savienojot skriptus Java un Python valodās.
- Finansējuma pieejamība pētījumu grupu komandas darbam un darba koordinēšanai ļoti lielu projektu reversās inženierijas laikā.
Interesanti, dažas stundas pēc Ghidra izlaišanas pakotne atrada ievainojamību atkļūdošanas režīma ieviešanā (pēc noklusējuma atspējots), kas atver tīkla portu 18001 lietojumprogrammas attālajai atkļūdošanai, izmantojot Java Debug Wire Protocol (JDWP).
Pēc noklusējuma, tīkla savienojumi tika veikti visās pieejamās tīkla saskarnēs, nevis 127.0.0.1, Kas tu ļauj izveidot savienojumu ar Ghidra no citām sistēmām un izpildīt jebkuru kodu lietojumprogrammas kontekstā.
Piemēram, varat izveidot savienojumu ar atkļūdotāju un pārtraukt izpildi, iestatot pārtraukuma punktu un aizstājot kodu turpmākai izpildei, izmantojot, piemēram, komandu "print new"
izdrukāt jaunu java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') ».
Bez tam, unIr iespējams novērot gandrīz pilnībā pārskatītā atvērtā interaktīvā demontētāja REDasm 2.0 izdevuma publicēšanu.
Programmai ir paplašināma arhitektūra, kas ļauj savienot draiverus papildu instrukciju komplektiem un failu formātiem moduļu veidā. Projekta kods ir rakstīts C ++ (uz Qt balstīta saskarne) un tiek izplatīts ar GPLv3 licenci. Darbs tiek atbalstīts operētājsistēmās Windows un Linux.
Pamata pakete atbalsta PE, ELF, DEX programmaparatūras formātus (Android Dalvik), Sony Playstation, XBox, GameBoy un Nintendo64. No instrukciju kopām tiek atbalstīti x86, x86_64, MIPS, ARMv7, Dalvik un CHIP-8.
Starp funkcijām mēs varam pieminēt interaktīvās vizualizācijas atbalstu IDA stilā, vairāku pavedienu lietojumu analīzi, vizuālās progresa diagrammas, digitālā paraksta apstrādes dzinēja (kas darbojas ar SDB failiem) un rīku projektu vadībai izveidošana.
Kā instalēt Ghidra?
Tiem, kurus interesē iespēja to instalēt Reversās inženierijas rīku komplekts “Ghidra”,, Viņiem būtu jāzina, ka viņiem jābūt vismaz:
- 4 GB RAM
- 1 GB komplekta glabāšanai
- Ir instalēta Java 11 izpildlaika un attīstības komplekts (JDK).
Lai lejupielādētu Ghidra, mums jāiet uz tās oficiālo vietni, kur mēs varam lejupielādēt. Saite ir šī.
Darīts vienatnē Viņiem būs jāatsaiņo lejupielādētā pakete un direktorijā atrodam failu "ghidraRun", kas darbinās komplektu.
Ja vēlaties uzzināt vairāk par to, varat apmeklēt šo saiti.