În timpul conferinței RSA Agenția Națională de Securitate a SUA a anunțat deschiderea accesului la „Ghidra” Reverse Engineering Toolkit, care include un dezasamblator interactiv cu suport pentru decompilarea codului C și oferă instrumente puternice pentru analiza executabilelor.
Proiectul Acesta este în dezvoltare de aproape 20 de ani și este utilizat în mod activ de agențiile de informații americane.. Pentru a identifica marcajele, a analiza codul rău intenționat, a studia diferite fișiere executabile și a analiza codul compilat.
Pentru capacitățile sale, produsul este comparabil cu versiunea extinsă a pachetului brevetat IDA Pro, dar este conceput exclusiv pentru analiza codului și nu include un depanator.
În plus, Ghidra are suport pentru descompilarea în pseudocod care arată ca C (în IDA, această caracteristică este disponibilă prin pluginuri de la terți), precum și instrumente mai puternice pentru analiza comună a fișierelor executabile.
caracteristici cheie
În cadrul setului de instrumente de inginerie inversă Ghidra putem găsi următoarele:
- Suport pentru diferite seturi de instrucțiuni ale procesorului și formate de fișiere executabile.
- Analiza fișierului executabil pentru Linux, Windows și macOS.
- Acesta include un dezasamblator, un asamblator, un decompilator, un generator de grafic de execuție a programului, un modul pentru executarea scripturilor și un set mare de instrumente auxiliare.
- Capacitatea de a efectua în moduri interactive și automate.
- Suport plug-in cu implementarea de noi componente.
- Suport pentru automatizarea acțiunilor și extinderea funcționalității existente prin conectarea scripturilor în limbile Java și Python.
- Disponibilitatea fondurilor pentru munca în echipă a echipelor de cercetare și coordonarea muncii în timpul ingineriei inverse a proiectelor foarte mari.
Cu interes, la câteva ore după lansarea lui Ghidra, pachetul a găsit o vulnerabilitate în implementarea modului de depanare (dezactivat în mod implicit), care deschide portul de rețea 18001 pentru depanarea de la distanță a aplicației utilizând JDWP (Java Debug Wire Protocol).
În mod implicit, conexiunile de rețea au fost făcute pe toate interfețele de rețea disponibile, în loc de 127.0.0.1, ce tu vă permite să vă conectați la Ghidra din alte sisteme și să executați orice cod în contextul aplicației.
De exemplu, vă puteți conecta la un depanator și anulați execuția setând un punct de întrerupere și înlocuiți codul pentru o execuție ulterioară utilizând comanda „print new”, de exemplu, »
print new java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') ».
În plus, șiEste posibil să observați publicarea unei ediții aproape complet revizuită a dezasamblatorului interactiv deschis REDasm 2.0.
Programul are o arhitectură extensibilă care vă permite să conectați drivere pentru seturi suplimentare de instrucțiuni și formate de fișiere sub formă de module. Codul proiectului este scris în C ++ (interfață bazată pe Qt) și distribuit sub licența GPLv3. Lucru acceptat pe Windows și Linux.
Pachetul de bază acceptă formate de firmware PE, ELF, DEX (Android Dalvik), Sony Playstation, XBox, GameBoy și Nintendo64. Dintre seturile de instrucțiuni sunt acceptate x86, x86_64, MIPS, ARMv7, Dalvik și CHIP-8.
Printre caracteristici, putem menționa suportul pentru vizualizarea interactivă în stil IDA, analiza aplicațiilor multi-thread, construirea unei diagrame vizuale de progres, a motorului de procesare a semnăturii digitale (care funcționează cu fișiere SDB) și a instrumentelor pentru managementul proiectelor.
Cum se instalează Ghidra?
Pentru cei interesați să poată instala acest lucru Set de instrumente pentru inginerie inversă „Ghidra”,, Ar trebui să știe că trebuie să aibă cel puțin:
- 4 GB RAM
- 1 GB pentru depozitare Kit
- Aveți instalat Java 11 Runtime și kitul de dezvoltare (JDK).
Pentru a descărca Ghidra trebuie să mergem pe site-ul său oficial de unde putem descărca. Legătura este aceasta.
A făcut asta singur Ei vor trebui să dezarhiveze pachetul descărcat și în interiorul directorului vom găsi fișierul „ghidraRun” care va rula kitul.
Dacă doriți să aflați mai multe despre aceasta, puteți vizita următorul link.