NSA开源逆向工具Ghidra入门使用教程 |
您所在的位置:网站首页 › mac的java使用教程 › NSA开源逆向工具Ghidra入门使用教程 |
背景 昨天,在刚刚举办的RSA大会上,NSA发布了一款功能强大、免费的开源逆向分析工具:Ghidra。该反汇编工具类似于我们常用的IDA,不过其基于JAVA开发,是一款适用于Windows、Mac和Linux的跨平台反汇编工具,用户还可以使用Java或Python开发自己的Ghidra插件或者脚本。2017年维基解密在Vault 7中首次曝光了Ghidra,该信息来自于中央情报局(CIA)的内部文件,Ghidra在过去数年里一直被用于NSA相关的网络安全任务当中。 360威胁情报中心第一时间对该工具进行了详细分析,梳理了相关说明文档、具体的安装使用方法,以及该软件的相关趣闻解读,带你详细了解这款强大而神秘的安全工具。 Ghidra下载地址可以通过Ghidra的项目主页或者GitHub进行下载: https://Ghidra-sre.org https://github.com/NationalSecurityAgency/Ghidra 整理的一些官方说明360威胁情报中心对Ghidra的官方说明文档进行了梳理,将一些必要的安装注意事项、文件目录介绍、使用方法、相关插件的使用等等逐一进行介绍,方便读者对照安装使用。 支持平台Windows 7/Windows 10(64位) Linux(64位,最好是CentOS 7) MacOS(10.8.3) 安装条件硬件条件:4GB内存;1GB硬盘空间 软件条件:Java 11+ 安装方法通过解压缩工具解压下载的压缩包(7-zip,WinZIP,WinRAR)即可使用。 安装注意事项Ghidra直接通过压缩包解压即可使用,这样的好处就是可以不用修改各种系统配置,如Windows下的注册表,便于删除,坏处是不能直接在桌面上或开始菜单设置快捷方式。特定盘符,如C:需要Administrator权限。Ghidra会使用系统标准的TEMP目录来存储相关数据,用户也可以通过修改support/launch.properties来进行修改。Java环境注意事项Ghidra会通过path自动定位相关的java runtime和development kit版本设置Windows下相关JDK path配置解压JDK打开系统环境变量设置选项在path中增加inLinux下下相关JDK path配置1.解压JDK 2.编辑~/.bahsrc Vi ~/.bashrc 3.export PATH=/bin:$PATH 4.保存 当然用户可能有使用特定版本java的需求,可以通过support/launch.properties中的JAVA_HOME_OVERRIDE来进行配置。不过如果该版本不符合Ghidra的需求,Ghidra是不会运行的。 运行GhidraGUI 模式切换到GhidraInstallDir目录,运行GhidraRun.bat(Windows)或GhidraRun(linus 或macOS),即可在GUI模式下启动Ghidra: 启动界面如下: Ghidra ServerGhidra支持多人协作完成一个逆向项目,各种研究人员在自己设备上进行相关的逆向任务,并将其修改提交到公共的存储库中,相关配置在Ghidra Server中有详尽的说明。 命令行模式有别于传统的GUI模式,使用者可以通过命令行模式进行批量化的反编译工作。 独立的JAR包模式Ghidra允许将其中的部分文件打包为JAR包并单独运行,以便于更方便的通过命令行模式进行启动,也方便于作为单独的Java逆向工程库。使用者可以通过/ support / buildGhidraJar创建单独的Ghidra.jar文件并使用。 扩展拓展是Ghidra的可选组件,可以执行以下操作: 用于编写拓展Ghidra相关的功能将其它的工具和Ghidra集成,如eclipse或IDA其默认附加了以下的拓展项,可在/Extensions中找到: Eclipse:用于在eclipse中安装GhidraDev eclipse插件Ghidra:Ghidra扩展IDAPro:和IDA互动的插件插件注意可以通过前端的GUI进行安装卸载l 文件->安装拓展l 选择需要安装/卸载的拓展程序l 重启生效需要对GhidraInstallDir具备写入权限也可以不使用GUI前端目录,直接将扩展解压到/ Ghidra / Extensions即可开发相关插件用户可以通过自定义的Ghidra脚本、插件、分析器来扩展其功能,Ghidra通过提供一个名为GhidraDev的自定义Eclipse插件来支持Eclipse中的开发,该插件可以在/ Extensions / Eclipse目录中找到。 具体使用过程项目创建通过自带BAT脚本启动GUI模式: 进入之后,会有一个Tip提示,如下所示: Ghidra是按项目进行管理的,使用者需要首先创建一个项目: 输入项目名: 项目创建完毕之后生成一个具体的目录,注意项目文件删除的时候似乎不能直接通过GUI删除,需要手动删除: 创建好项目之后就可以导入需要反编译的文件了: 如下所示我们反编译测试了calc.exe计算器程序: 开始反编译,速度相比于IDA还是慢了不少: 完成之后,项目文件下会创建对应的项目,双击进入: 进入之后会提示是否进行分析: 点击确认后,可以控制相应的分析选项: 开始分析之后,右下角会有相关的进度条展示: 目前来看Ghidra是无法自动下载符号的,需要对PDB相关配置进行设置: 完成分析之后的整体界面如下所示,很有一股浓浓的JAVA风范: 由于是基于项目的,因此Ghidra中可以同时打开多个反编译的项目,只需要直接往项目中导入文件即可: 主要功能介绍360威胁情报中心整理了一些Ghidra反汇编界面中常见且有用的一些功能选项,并进行相关介绍: Navigation菜单该菜单下是一些主要操作选项: Window菜单该菜单下是其主要支持的功能窗口,类似于IDA中view->opensubview 其中的Python功能提供了类似IDAPython的功能,可以通过help()或直接按F1查看对应的功能说明: 脚本管理菜单脚本管理菜单下有大量的JAVA扩展脚本,这也是目前为止笔者觉得能带来惊喜的一个地方: 这些脚本选中后是可以直接运行的,如下所示的是字符串搜索功能: 反编译项目对比功能由于是以项目为单位的,因此支持对同一个项目中的反编译项目进行对比: 具体选项如下: 不过目前看来其效果一般: 常用快捷键Ghidra也支持快捷键功能,360威胁情报中心整理了一些Ghidra中常见且有用的快捷键进行介绍: 双击 和IDA一致,直接双击可以进入之后的地址函数: 搜索(Ctrl+SHIFT+E)该快捷键用于进行搜索,类似于IDA中的alt+t 效果如下,速度对比IDA还是要慢上不少: 书签(Ctrl+D)该快捷键启用书签功能: 反编译(Ctrl+E)相当于IDA中的F5,展示反编译后的代码: 右键查看引用类似于IDA中的Ctrl+X: 更多操作更多详细的快捷键和操作可见解压后docs文件夹中的CheatSheet.html文件: 一些趣闻:关于JDWP远程代码执行在Ghidra发布后不久,HackerFantastic就在Twitter发布了Ghidra存在JDEWP的远程代码执行问题: JDWP是指开放了一个调试端口,可以远程访问: 笔者默认的环境下可以看到这个JAVA的调试端口并没有启动: 笔者在对应的support下看到了对应的launch.sh脚本,这个脚本确实会开启一个对应的端口,但需要通过debug和debug-supend参数启动: 实际上我们使用的GhidraRun也是通过launch.bat进行启动的: 只是GhidraRun使用的是bg参数,并不会激活对应的调试模式: 因此从目前来看正常的GUI启动时不会激活该功能,但是由于launch本身是主要的启动入口,在没有详细深入分析前,不排除有其他方式通过debug和debug-supend参数进行调用,因此建议手动patch代码。 总结目前来看Ghidra具有反编译功能,查看、定位反编译后的代码相较于IDA有优势。不过在使用过程中发现其处理某些混淆后代码的能力还比较欠缺,在一些界面功能上也还有较大的差距,此外基于JAVA开发的原因也使得其在性能上有一些欠缺。 参考链接https://Ghidra-sre.org/CheatSheet.html https://Ghidra-sre.org/InstallationGuide.html https://github.com/NationalSecurityAgency/Ghidra 声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 [email protected]。 |
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |