Ghidra, một bộ công cụ thiết kế ngược của NSA

ghydra

Trong hội nghị RSA Cơ quan An ninh Quốc gia Hoa Kỳ thông báo mở quyền truy cập vào Bộ công cụ Kỹ thuật Ngược “Ghidra”, bao gồm một trình tháo gỡ tương tác với hỗ trợ dịch ngược mã C và cung cấp các công cụ mạnh mẽ để phân tích các tệp thực thi.

Dự án Nó đã được phát triển gần 20 năm và được các cơ quan tình báo Hoa Kỳ tích cực sử dụng.. Để xác định dấu trang, phân tích mã độc hại, nghiên cứu các tệp thực thi khác nhau và phân tích mã đã biên dịch.

Đối với khả năng của nó, sản phẩm có thể so sánh với phiên bản mở rộng của gói độc quyền IDA Pro, nhưng nó được thiết kế dành riêng cho phân tích mã và không bao gồm trình gỡ lỗi.

Hơn nữa, Ghidra có hỗ trợ dịch ngược thành mã giả trông giống như C (trong IDA, tính năng này có sẵn thông qua các plugin của bên thứ ba), cũng như các công cụ mạnh mẽ hơn để phân tích chung các tệp thực thi.

Các tính năng chính

Trong bộ công cụ thiết kế ngược Ghidra, chúng ta có thể tìm thấy những điều sau:

  • Hỗ trợ nhiều bộ hướng dẫn bộ xử lý và định dạng tệp thực thi.
  • Phân tích hỗ trợ tệp thực thi cho Linux, Windows và macOS.
  • Nó bao gồm một trình tháo gỡ, một trình hợp dịch, một trình dịch ngược, một trình tạo đồ họa thực thi chương trình, một mô-đun để thực thi các tập lệnh và một bộ lớn các công cụ phụ trợ.
  • Khả năng thực hiện ở các chế độ tương tác và tự động.
  • Hỗ trợ plug-in với việc triển khai các thành phần mới.
  • Hỗ trợ tự động hóa các hành động và mở rộng chức năng hiện có thông qua kết nối các tập lệnh bằng ngôn ngữ Java và Python.
  • Sẵn có kinh phí để làm việc theo nhóm của các nhóm nghiên cứu và điều phối công việc trong quá trình thiết kế ngược các dự án rất lớn.

Thật kỳ lạ, vài giờ sau khi Ghidra phát hành, gói này đã tìm thấy một lỗ hổng trong việc triển khai chế độ gỡ lỗi (bị tắt theo mặc định), mở cổng mạng 18001 để gỡ lỗi ứng dụng từ xa bằng Giao thức dây gỡ lỗi Java (JDWP).

Theo mặc định, kết nối mạng được thực hiện trên tất cả các giao diện mạng có sẵn, thay vì 127.0.0.1, bạn là gì cho phép bạn kết nối với Ghidra từ các hệ thống khác và thực thi bất kỳ mã nào trong ngữ cảnh của ứng dụng.

Ví dụ: bạn có thể kết nối với trình gỡ lỗi và hủy thực thi bằng cách đặt một điểm ngắt và thay thế mã của bạn để thực thi thêm bằng lệnh "in mới", chẳng hạn như »
in mới java.lang.Runtime (). execute ('/ bin / mkdir / tmp / dir') ».

Bên cạnh đó, vàCó thể quan sát việc xuất bản phiên bản sửa đổi gần như hoàn toàn của trình tháo gỡ tương tác mở REDasm 2.0.

Chương trình có kiến ​​trúc có thể mở rộng cho phép bạn kết nối trình điều khiển để có thêm bộ hướng dẫn và định dạng tệp dưới dạng mô-đun. Mã dự án được viết bằng C ++ (giao diện dựa trên Qt) và được phân phối theo giấy phép GPLv3. Hoạt động được hỗ trợ trên Windows và Linux.

Gói cơ bản hỗ trợ các định dạng phần sụn PE, ELF, DEX (Android Dalvik), Sony Playstation, XBox, GameBoy và Nintendo64. Trong số các tập lệnh, x86, x86_64, MIPS, ARMv7, Dalvik và CHIP-8 được hỗ trợ.

Trong số các tính năng, chúng ta có thể kể đến việc hỗ trợ hiển thị tương tác theo kiểu IDA, phân tích các ứng dụng đa luồng, xây dựng biểu đồ tiến độ trực quan, công cụ xử lý chữ ký số (hoạt động với các tệp SDB) và các công cụ để quản lý dự án.

Làm thế nào để cài đặt Ghidra?

Đối với những người quan tâm đến việc có thể cài đặt Bộ công cụ kỹ thuật đảo ngược “Ghidra”,, Họ nên biết rằng họ phải có ít nhất:

  • GB RAM 4
  • 1 GB cho bộ nhớ Kit
  • Đã cài đặt Java 11 Runtime và Development Kit (JDK).

Để tải xuống Ghidra, chúng ta phải truy cập trang web chính thức của nó, nơi chúng ta có thể tải xuống. Liên kết là cái này.

Xong việc này một mình Họ sẽ phải giải nén gói đã tải xuống và bên trong thư mục, chúng tôi sẽ tìm thấy tệp "ghidraRun" sẽ chạy bộ.

Nếu bạn muốn biết thêm về nó, bạn có thể truy cập liên kết sau.


Hãy là người đầu tiên nhận xét

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.