Under RSA-konferansen US National Security Agency kunngjorde åpningen av tilgang til "Ghidra" Reverse Engineering Toolkit, som inkluderer en interaktiv demonterer med støtte for dekompilering av C-kode og gir kraftige verktøy for å analysere kjørbare filer.
Prosjektet Den har vært under utvikling i nesten 20 år og brukes aktivt av amerikanske etterretningsbyråer.. For å identifisere bokmerker, analysere skadelig kode, studere forskjellige kjørbare filer og analysere kompilert kode.
For sine evner, produktet kan sammenlignes med den utvidede versjonen av IDA Pro-pakke, men den er designet utelukkende for kodeanalyse og inkluderer ikke en feilsøking.
Videre Ghidra har støtte for dekompilering til pseudokode som ser ut som C (i IDA er denne funksjonen tilgjengelig via tredjeparts plugins), samt kraftigere verktøy for felles analyse av kjørbare filer.
Hovedkarakteristikker
Innen Ghidra verktøysett for reversering kan vi finne følgende:
- Støtte for ulike sett med prosessorinstruksjoner og kjørbare filformater.
- Kjørbar filstøtteanalyse for Linux, Windows og macOS.
- Den inkluderer en demonterer, en montør, en dekompilator, en grafikkgenerator for programutførelse, en modul for å utføre skript og et stort sett med tilleggsverktøy.
- Evne til å utføre i interaktive og automatiske moduser.
- Plug-in-støtte med implementering av nye komponenter.
- Støtte for automatisering av handlinger og utvidelse av eksisterende funksjonalitet gjennom tilkobling av skript på Java og Python-språk.
- Tilgjengelighet av midler til teamarbeid av forskerteam og koordinering av arbeid under revers engineering av veldig store prosjekter.
Merkelig nok noen timer etter utgivelsen av Ghidra fant pakken en sårbarhet i implementeringen av feilsøkingsmodus (deaktivert som standard), som åpner nettverksport 18001 for ekstern feilsøking av applikasjonen ved hjelp av JDWP (Java Debug Wire Protocol).
Som standard nettverkstilkoblinger ble gjort på alle tilgjengelige nettverksgrensesnitt, i stedet for 127.0.0.1, hva du lar deg koble til Ghidra fra andre systemer og utføre hvilken som helst kode i sammenheng med applikasjonen.
For eksempel kan du koble til en feilsøkingsprogram og avbryte utførelse ved å angi et brytpunkt og erstatte koden for videre kjøring ved å bruke kommandoen "skriv ut ny", for eksempel "
skriv ut ny java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') ».
Dessuten, ogDet er mulig å observere publiseringen av en nesten fullstendig revidert utgave av den åpne interaktive demontereren REDasm 2.0.
Programmet har en utvidbar arkitektur som lar deg koble drivere for flere sett med instruksjoner og filformater i form av moduler. Prosjektkoden er skrevet i C ++ (Qt-basert grensesnitt) og distribuert under GPLv3-lisensen. Arbeid støttet på Windows og Linux.
Grunnpakke støtter fastvareformatene PE, ELF, DEX (Android Dalvik), Sony Playstation, XBox, GameBoy og Nintendo64. Av instruksjonssettene støttes x86, x86_64, MIPS, ARMv7, Dalvik og CHIP-8.
Blant funksjonene, vi kan nevne støtten for den interaktive visualiseringen i IDA-stil, analysen av applikasjoner med flere tråder, konstruksjonen av et visuelt fremdriftsskjema, den digitale signaturbehandlingsmotoren (som fungerer med SDB-filer) og verktøyene for prosjektledelse.
Hvordan installerer jeg Ghidra?
For de som er interessert i å kunne installere dette “Ghidra” verktøysett for omvendt konstruksjon,, De burde vite at de må ha minst:
- 4 GB RAM
- 1 GB for lagring av sett
- Få Java 11 Runtime og Development Kit (JDK) installert.
For å laste ned Ghidra må vi gå til det offisielle nettstedet der vi kan laste ned. Koblingen er denne.
Gjort dette alene De må pakke ut den nedlastede pakken, og i katalogen finner vi filen "ghidraRun" som kjører settet.
Hvis du vil vite mer om det, kan du besøke følgende lenke.