Во время конференции RSA Агентство национальной безопасности США объявило об открытии доступа к набору инструментов обратного проектирования «Ghidra»., который включает интерактивный дизассемблер с поддержкой декомпиляции кода C и предоставляет мощные инструменты для анализа исполняемых файлов.
В рамках проекта Он находится в разработке почти 20 лет и активно используется спецслужбами США.. Для выявления закладок, анализа вредоносного кода, изучения различных исполняемых файлов и анализа скомпилированного кода.
По своим возможностям, продукт сопоставим с расширенной версией проприетарного пакета IDA., но он предназначен исключительно для анализа кода и не включает отладчик.
Кроме того, Ghidra поддерживает декомпиляцию в псевдокод, похожий на C (в IDA эта функция доступна через сторонние плагины), а также более мощные инструменты для совместного анализа исполняемых файлов.
Características principales
В наборе инструментов обратной инженерии Ghidra мы можем найти следующее:
- Поддержка различных наборов инструкций процессора и форматов исполняемых файлов.
- Анализ поддержки исполняемых файлов для Linux, Windows и macOS.
- Он включает в себя дизассемблер, ассемблер, декомпилятор, генератор графа выполнения программы, модуль для выполнения скриптов и большой набор вспомогательных инструментов.
- Возможность работать в интерактивном и автоматическом режимах.
- Поддержка плагинов с внедрением новых компонентов.
- Поддержка автоматизации действий и расширения существующей функциональности за счет подключения скриптов на языках Java и Python.
- Наличие средств для совместной работы исследовательских групп и координации работы при реверс-инжиниринге очень крупных проектов.
Любопытно, через несколько часов после выпуска Ghidra пакет обнаружил уязвимость в реализации режима отладки (по умолчанию отключено), который открывает сетевой порт 18001 для удаленной отладки приложений с использованием протокола Java Debug Wire Protocol (JDWP).
По умолчанию, сетевые подключения были выполнены на всех доступных сетевых интерфейсах вместо 127.0.0.1что позволяет подключаться к Ghidra из других систем и выполнять любой код в контексте приложения.
Например, вы можете подключиться к отладчику и прервать выполнение, установив точку останова и заменив свой код для дальнейшего выполнения с помощью команды «print new», например »
напечатать новый java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') ».
Кроме того, иМожно наблюдать публикацию почти полностью переработанной редакции открытого интерактивного дизассемблера REDasm 2.0.
Программа имеет расширяемую архитектуру, которая позволяет подключать драйверы для дополнительных наборов инструкций и форматов файлов в виде модулей. Код проекта написан на C ++ (интерфейс на основе Qt) и распространяется по лицензии GPLv3. Поддерживается работа в Windows и Linux.
Базовый пакет поддерживает форматы прошивки PE, ELF, DEX (Android Dalvik), Sony Playstation, XBox, GameBoy и Nintendo64. Из наборов команд поддерживаются x86, x86_64, MIPS, ARMv7, Dalvik и CHIP-8.
Среди особенностей можно отметить поддержку интерактивной визуализации в стиле IDA, анализ многопоточных приложений, построение визуальной диаграммы прогресса, механизм обработки цифровых подписей (который работает с файлами SDB) и инструменты для управления проектами.
Как установить Ghidra?
Для тех, кто заинтересован в возможности установить это Инструментарий обратного проектирования «Ghidra»,, Они должны знать, что у них должно быть как минимум:
- 4 GB RAM
- 1 ГБ для хранения комплекта
- Установите Java 11 Runtime and Development Kit (JDK).
Чтобы скачать Ghidra, нам нужно перейти на официальный сайт, где мы можем скачать. Ссылка такая.
Сделал это один Им нужно будет распаковать загруженный пакет, и внутри каталога мы найдем файл «ghidraRun», который запустит комплект.
Если вы хотите узнать о нем больше, посетите по следующей ссылке.