Počas konferencie RSA Americká národná bezpečnostná agentúra oznámila otvorenie prístupu k balíku nástrojov pre reverzné inžinierstvo „Ghidra“, ktorý obsahuje interaktívny disassembler s podporou dekompilovania kódu C a poskytuje výkonné nástroje na analýzu spustiteľných súborov.
Projekt Vyvíja sa takmer 20 rokov a aktívne ho využívajú americké spravodajské agentúry.. Ak chcete identifikovať záložky, analyzujte škodlivý kód, študujte rôzne spustiteľné súbory a analyzujte skompilovaný kód.
Pre svoje schopnosti produkt je porovnateľný s rozšírenou verziou proprietárneho balíka IDA Pro, ale je určený výlučne na analýzu kódu a neobsahuje ladiaci program.
Okrem toho, Ghidra podporuje dekompilovanie do pseudokódu, ktorý vyzerá ako C. (v IDA je táto funkcia k dispozícii prostredníctvom doplnkov tretích strán), ako aj výkonnejšie nástroje na spoločnú analýzu spustiteľných súborov.
kľúčové vlastnosti
V rámci súpravy nástrojov pre reverzné inžinierstvo Ghidra nájdeme nasledovné:
- Podpora rôznych súborov pokynov pre procesor a formátov spustiteľných súborov.
- Analýza podpory spustiteľných súborov pre systémy Linux, Windows a macOS.
- Zahŕňa disassembler, assembler, dekompilátor, generátor grafu vykonávania programu, modul na vykonávanie skriptov a veľkú sadu pomocných nástrojov.
- Schopnosť vykonávať v interaktívnych a automatických režimoch.
- Podpora doplnkov s implementáciou nových komponentov.
- Podpora automatizácie akcií a rozširovania existujúcich funkcií pripojením skriptov v jazykoch Java a Python.
- Dostupnosť finančných prostriedkov na tímovú prácu výskumných tímov a koordináciu práce pri reverznom inžinierstve veľmi veľkých projektov.
Kuriózne je, niekoľko hodín po vydaní Ghidry balíček našiel chybu v implementácii režimu ladenia (predvolene zakázané), ktoré otvára sieťový port 18001 pre vzdialené ladenie aplikácií pomocou protokolu Java Debug Wire Protocol (JDWP).
Predvolene, sieťové pripojenia sa uskutočňovali na všetkých dostupných sieťových rozhraniach, namiesto 127.0.0.1, čo ty umožňuje pripojiť sa k Ghidre z iných systémov a spustiť akýkoľvek kód v kontexte aplikácie.
Môžete sa napríklad pripojiť k debuggeru a prerušiť vykonávanie nastavením bodu prerušenia a nahradiť svoj kód ďalším vykonaním pomocou príkazu „vytlačiť nový“, napríklad »
vytlačiť nový java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') ».
Okrem toho aJe možné pozorovať vydanie takmer úplne prepracovaného vydania otvoreného interaktívneho disassemblera REDasm 2.0.
Tento program má rozšíriteľnú architektúru, ktorá vám umožňuje pripojiť ovládače pre ďalšie sady pokynov a formáty súborov vo forme modulov. Kód projektu je napísaný v C ++ (rozhranie založené na Qt) a distribuovaný pod licenciou GPLv3. Práce podporované v systémoch Windows a Linux.
Základné balenie podporuje formáty firmvéru PE, ELF, DEX (Android Dalvik), Sony Playstation, XBox, GameBoy a Nintendo64. Z inštrukčných sád sú podporované x86, x86_64, MIPS, ARMv7, Dalvik a CHIP-8.
Medzi funkciami môžeme spomenúť podporu interaktívnej vizualizácie v štýle IDA, analýzu viacvláknových aplikácií, konštrukcia grafu vizuálneho pokroku, mechanizmus na digitálne podpisovanie (ktorý pracuje so súbormi SDB) a nástroje na riadenie projektu.
Ako nainštalovať Ghidru?
Pre tých, ktorí majú záujem o inštaláciu Sada nástrojov pre reverzné inžinierstvo „Ghidra“,, Mali by vedieť, že musia mať aspoň:
- 4 GB RAM
- 1 GB pre úložisko Kit
- Nechajte si nainštalovať Java 11 Runtime and Development Kit (JDK).
Ak chcete stiahnuť Ghidru, musíme ísť na jej oficiálnu webovú stránku, kde si ju môžeme stiahnuť. Odkaz je tento.
Toto robte sám Budú musieť rozbaliť stiahnutý balík a vo vnútri adresára nájdeme súbor „ghidraRun“, ktorý spustí súpravu.
Ak sa o nej chcete dozvedieť viac, môžete navštíviť nasledujúci odkaz.