Durante a conferência RSA A Agência de Segurança Nacional dos EUA anunciou a abertura do acesso ao kit de ferramentas de engenharia reversa “Ghidra”, que inclui um desmontador interativo com suporte para descompilar código C e fornece ferramentas poderosas para analisar executáveis.
O projeto Ele está em desenvolvimento há quase 20 anos e é usado ativamente pelas agências de inteligência dos Estados Unidos.. Para identificar marcadores, analise o código malicioso, estude vários arquivos executáveis e analise o código compilado.
Por suas capacidades, o produto é comparável à versão estendida do pacote proprietário IDA Pro, mas é projetado exclusivamente para análise de código e não inclui um depurador.
Além disso, Ghidra tem suporte para descompilação em pseudocódigo que se parece com C (no IDA, esse recurso está disponível por meio de plug-ins de terceiros), bem como ferramentas mais poderosas para análise conjunta de arquivos executáveis.
Características principais
No kit de ferramentas de engenharia reversa Ghidra, podemos encontrar o seguinte:
- Suporte para vários conjuntos de instruções de processador e formatos de arquivo executáveis.
- Análise de suporte a arquivos executáveis para Linux, Windows e macOS.
- Inclui um desmontador, um montador, um descompilador, um gerador de gráficos de execução de programa, um módulo para execução de scripts e um grande conjunto de ferramentas auxiliares.
- Capacidade de atuar nos modos interativo e automático.
- Suporte a plug-ins com implementação de novos componentes.
- Suporte para automatizar ações e estender a funcionalidade existente por meio da conexão de scripts nas linguagens Java e Python.
- Disponibilidade de fundos para o trabalho em equipe das equipes de pesquisa e coordenação dos trabalhos durante a engenharia reversa de projetos de grande porte.
Curiosamente, algumas horas após o lançamento do Ghidra, o pacote encontrou uma vulnerabilidade na implementação do modo de depuração (desabilitado por padrão), que abre a porta de rede 18001 para depuração de aplicativo remoto usando o Java Debug Wire Protocol (JDWP).
Por padrão, as conexões de rede foram feitas em todas as interfaces de rede disponíveis, em vez de 127.0.0.1, o que você permite que você se conecte ao Ghidra de outros sistemas e execute qualquer código no contexto do aplicativo.
Por exemplo, você pode se conectar a um depurador e abortar a execução definindo um ponto de interrupção e substituir seu código para execução posterior usando o comando "imprimir novo", por exemplo, »
imprimir novo java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') ».
Além disso, eÉ possível observar a publicação de uma edição quase totalmente revisada do desmontador interativo aberto REDasm 2.0.
O programa possui uma arquitetura extensível que permite conectar drivers para conjuntos adicionais de instruções e formatos de arquivo na forma de módulos. O código do projeto é escrito em C ++ (interface baseada em Qt) e distribuído sob a licença GPLv3. Trabalho com suporte em Windows e Linux.
O pacote básico oferece suporte aos formatos de firmware PE, ELF, DEX (Android Dalvik), Sony Playstation, XBox, GameBoy e Nintendo64. Dos conjuntos de instruções, x86, x86_64, MIPS, ARMv7, Dalvik e CHIP-8 são suportados.
Entre os recursos, podemos citar o suporte para a visualização interativa no estilo IDA, a análise de aplicações multi-threaded, a construção de um gráfico visual de andamento, o mecanismo de processamento de assinatura digital (que funciona com arquivos SDB) e as ferramentas de gerenciamento de projetos.
Como instalar o Ghidra?
Para aqueles interessados em poder instalar este Kit de ferramentas de engenharia reversa “Ghidra”,, Eles devem saber que devem ter pelo menos:
- 4 GB RAM
- 1 GB para armazenamento do kit
- Tenha o Java 11 Runtime and Development Kit (JDK) instalado.
Para baixar o Ghidra, temos que ir ao seu site oficial, onde podemos fazer o download. O link é este.
Feito isso sozinho Eles terão que descompactar o pacote baixado e dentro do diretório encontraremos o arquivo "ghidraRun" que irá rodar o kit.
Se você quiser saber mais sobre isso, você pode visitar o seguinte link.