Under RSA-konferensen US National Security Agency tillkännagav öppnandet av tillgång till "Ghidra" reverse engineering toolkit, som inkluderar en interaktiv disassembler med stöd för dekompilering av C-kod och ger kraftfulla verktyg för att analysera körbara filer.
Projektet Den har utvecklats i nästan 20 år och används aktivt av amerikanska underrättelsetjänster.. För att identifiera markörer, analysera skadlig kod, studera olika körbara filer och analysera kompilerad kod.
På grund av hans förmågor, produkten är jämförbar med den utökade versionen av det proprietära paketet IDA Pro, men den är uteslutande utformad för kodanalys och innehåller ingen felsökning.
Vidare, Ghidra har stöd för dekompilering till pseudokod som ser ut som C (i IDA är den här funktionen tillgänglig via plugins från tredje part), samt kraftfullare verktyg för gemensam analys av körbara filer.
Huvudegenskaper
Inom Ghidra reverse engineering verktygslåda kan vi hitta följande:
- Stöd för olika processorinstruktionsuppsättningar och körbara filformat.
- Stöd analys av körbara filer för Linux, Windows och macOS.
- Den innehåller en disassembler, en assembler, en dekompilator, en programexekveringsgrafgenerator, en modul för exekvering av skript och en stor uppsättning hjälpverktyg.
- Förmåga att prestera i interaktiva och automatiska lägen.
- Plug-in-stöd med implementering av nya komponenter.
- Stöd för att automatisera åtgärder och utöka befintlig funktionalitet genom anslutning av skript i Java- och Python-språk.
- Tillgång till medel för teamwork av forskarlag och samordning av arbete under reverse engineering av mycket stora projekt.
Nyfiket, några timmar efter Ghidras utgivning hittade paketet en sårbarhet i implementeringen av felsökningsläget (inaktiverat som standard), vilket öppnar nätverksport 18001 för fjärrfelsökning av programmet med Java Debug Wire Protocol (JDWP).
Som standard, nätverksanslutningar gjordes till alla tillgängliga nätverksgränssnitt, istället för 127.0.0.1, vad du Det tillåter anslutning till Ghidra från andra system och exekvering av valfri kod i applikationens sammanhang.
Du kan till exempel koppla upp dig med en debugger och avbryta exekvering genom att ställa in en brytpunkt och ersätta din kod för ytterligare exekvering med kommandot "skriv ut ny", t.ex. »
skriv ut ny java.lang.Runtime().exec('/bin/mkdir /tmp/dir')”.
Dessutom, ochDet är möjligt att se releasen av en nästan helt reviderad utgåva av REDasm 2.0 öppna interaktiva disassembler.
Programmet har en utökningsbar arkitektur som gör att du kan plugga in drivrutiner för ytterligare instruktionsuppsättningar och filformat i form av moduler. Projektkoden är skriven i C++ (Qt-baserat gränssnitt) och distribueras under GPLv3-licensen. Arbete som stöds på Windows och Linux.
Grundpaketet stöder firmware-formaten PE, ELF, DEX (Android Dalvik), Sony Playstation, XBox, GameBoy och Nintendo64. Av instruktionsuppsättningarna stöds x86, x86_64, MIPS, ARMv7, Dalvik och CHIP-8.
Bland funktionerna, vi kan nämna stödet för interaktiv visualisering i IDA-stil, analys av flertrådade applikationer, konstruktionen av en visuell framstegsgraf, den digitala signaturbehandlingsmotorn (som arbetar med SDB-filer) och verktygen för projektledning.
Hur installerar man Ghidra?
För den som är intresserad av att kunna installera detta reverse engineering verktygssats "Ghidra",, de bör veta att de måste ha minst:
- 4 GB RAM
- 1 GB för Kit-lagring
- Har Java 11 Runtime and Development Kit (JDK) installerat.
För att ladda ner Ghidra måste vi gå till dess officiella webbplats där vi kan ladda ner den. Länken är den här.
gjort detta ensam de kommer att behöva packa upp det nedladdade paketet och inuti katalogen hittar vi filen "ghidaRun" som kommer att köra kitet.
Om du vill veta mer om det kan du besöka följande länk.