Ghidra, isang toolkit ng reverse engineering ng NSA

Darkcrizt

4 Minutos

ghydra

Sa panahon ng kumperensya sa RSA Inihayag ng US National Security Agency ang pagbubukas ng pag-access sa "Ghidra" Reverse Engineering Toolkit, na kinabibilangan ng isang interactive na disassembler na may suporta para sa pagde-decode ng C code at nagbibigay ng mga malalakas na tool para sa pag-aaral ng mga naisasagawa.

Ang proyekto Ito ay nasa pag-unlad ng halos 20 taon at aktibong ginagamit ng mga ahensya ng intelihensiya ng US.. Upang makilala ang mga bookmark, pag-aralan ang nakakahamak na code, pag-aralan ang iba't ibang mga maipapatupad na file, at pag-aralan ang naipong code.

Para sa mga kakayahan, ang produkto ay maihahambing sa pinalawig na bersyon ng IDA Pro na pagmamay-ari na pakete, ngunit eksklusibo itong idinisenyo para sa pagtatasa ng code at hindi kasama ang isang debugger.

Bukod dito, Ang Ghidra ay may suporta para sa pag-decompile sa pseudocode na mukhang C (sa IDA, ang tampok na ito ay magagamit sa pamamagitan ng mga third-party na plugin), pati na rin ang mas malakas na mga tool para sa magkasanib na pagtatasa ng maipapatupad na mga file.

pangunahing katangian

Sa loob ng Ghidra reverse engineering toolkit maaari naming makita ang mga sumusunod:

  • Suporta para sa iba't ibang mga hanay ng mga tagubilin sa processor at maipapatupad na mga format ng file.
  • Mapapatupad na pagtatasa ng suporta sa file para sa Linux, Windows at macOS.
  • Kasama dito ang isang disassembler, isang assembler, isang decompiler, isang generator ng pagpapatupad ng graphics ng programa, isang module para sa pagpapatupad ng mga script, at isang malaking hanay ng mga tool na pantulong.
  • Kakayahang gumanap sa interactive at awtomatikong mga mode.
  • Suporta ng plug-in sa pagpapatupad ng mga bagong bahagi.
  • Suporta para sa pag-automate ng mga aksyon at pagpapalawak ng mayroon nang pag-andar sa pamamagitan ng koneksyon ng mga script sa mga wika ng Java at Python.
  • Ang pagkakaroon ng mga pondo para sa pagtutulungan ng mga koponan sa pagsasaliksik at koordinasyon ng trabaho sa panahon ng reverse engineering ng napakalaking proyekto.

Nagtataka, ilang oras pagkatapos ng paglaya ni Ghidra, natagpuan ng package ang isang kahinaan sa pagpapatupad ng debug mode (hindi pinagana bilang default), na magbubukas sa network port 18001 para sa remote application debugging gamit ang Java Debug Wire Protocol (JDWP).

Bilang default, ang mga koneksyon sa network ay ginawa sa lahat ng magagamit na mga interface ng network, sa halip na 127.0.0.1, ano ka Pinapayagan kang kumonekta sa Ghidra mula sa iba pang mga system at magpatupad ng anumang code sa konteksto ng application.

Halimbawa, maaari kang kumonekta sa isang debugger at ipalaglag ang pagpapatupad sa pamamagitan ng pagtatakda ng isang breakpoint at palitan ang iyong code para sa karagdagang pagpapatupad sa pamamagitan ng paggamit ng "print new" na utos, halimbawa, »
mag-print ng bagong java.lang.Runtime (). exec ('/ bin / mkdir / tmp / dir') ».

Bukod, atPosibleng obserbahan ang paglalathala ng isang halos ganap na nabagong edisyon ng bukas na interactive disassembler na REDasm 2.0.

Ang programa ay may isang extensible na arkitektura na nagbibigay-daan sa iyo upang ikonekta ang mga driver para sa karagdagang mga hanay ng pagtuturo at mga format ng file sa anyo ng mga module. Ang code ng proyekto ay nakasulat sa C ++ (interface na batay sa Qt) at ipinamamahagi sa ilalim ng lisensya ng GPLv3. Sinusuportahan ang trabaho sa Windows at Linux.

Sinusuportahan ng pangunahing pakete ang mga format ng PE, ELF, DEX firmware (Android Dalvik), Sony Playstation, XBox, GameBoy at Nintendo64. Sa mga hanay ng tagubilin, sinusuportahan ang x86, x86_64, MIPS, ARMv7, Dalvik, at CHIP-8.

Kabilang sa mga tampok, maaari nating banggitin ang suporta para sa interactive na paggunita sa istilo ng IDA, ang pagtatasa ng mga multi-threaded na application, ang pagtatayo ng isang tsart ng pag-unlad ng visual, ang digital signature engine na pagpoproseso (na gumagana sa mga file ng SDB) at mga tool para sa pamamahala ng proyekto.

Paano i-install ang Ghidra?

Para sa mga interesadong ma-install ito Reverse Engineering Toolkit na "Ghidra",, Dapat nilang malaman na dapat mayroon silang hindi bababa sa:

  • 4 GB RAM
  • 1 GB para sa Kit storage
  • I-install ang Java 11 Runtime and Development Kit (JDK).

Upang ma-download ang Ghidra kailangan nating pumunta sa opisyal na website kung saan maaari kaming mag-download. Ang link ay ito.

Tapos na mag-isa ito Kakailanganin nilang i-unzip ang na-download na package at sa loob ng direktoryo ay mahahanap namin ang file na "ghidraRun" na tatakbo sa kit.

Kung nais mong malaman ang tungkol dito maaari kang bumisita ang sumusunod na link.


Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.