Сейчас на форуме: bartolomeo, -Sanchez-, morgot, sashalogout (+5 невидимых)

 eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>
Посл.ответ Сообщение


Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 06 марта 2019 04:20 · Поправил: DimitarSerg
· Личное сообщение · #1



A software reverse engineering (SRE) suite of tools developed by NSA's Research Directorate in support of the Cybersecurity mission

It helps analyze malicious code and malware like viruses, and can give cybersecurity professionals a better understanding of potential vulnerabilities in their networks and systems.


GHIDRA 9.1.1 released !
--> Changelog <--
--> Download <--
--> GHIDRA Sources [github] <--

--> CheatSheet: <--

--> Презентация с RSA <--

--> Twitter от имени гидры: <--
--> Онлайн курсы: <--
--> Документация по API <--

--> Daenerys <-- is an interop framework that allows you to run IDAPython scripts under Ghidra and Ghidra scripts under IDA Pro with little to no modifications.
--> FindCrypt - Ghidra Edition <--
Using --> OOAnalyzer <--<-- to Reverse Engineer Object Oriented Code with Ghidra
--> GhidraX64Dbg <--:
Code:
  1. * Extract annotations from Ghidra into an X32/X64 dbg database
  2. * Extension containing a Ghidra script to export annotations from Ghidra to an x32dbg/x64dbg database.
--> An Abstract Interpretation-Based Deobfuscation <--
Cisco Talos is releasing two new tools for IDA Pro: --> Ghidraaas <-- and --> GhIDA <-- :
Code:
  1. GhIDA is an IDA Pro plugin that integrates the Ghidra decompiler in the IDA workflow, giving users the ability to rename and highlight symbols and improved navigation and comments. GhIDA assists the reverse-engineering process by decompiling x86 and x64 PE and ELF binary functions, using either a local installation of Ghidra, or Ghidraaas ( Ghidra as a Service) — a simple docker container that exposes the Ghidra decompiler through REST APIs
Automating --> Ghidra <--: writing a script to find banned functions
--> Канал гидры на youtube: <--
Список видео на канале:
Code:
  1. 1. Ghidra quickstart & tutorial: Solving a simple crackme
  2. 2. Reverse engineering with #Ghidra: Breaking an embedded firmware encryption scheme
  3. 3. Reversing WannaCry Part 1 in Ghidra
--> Software Reverse Engineering with Ghidra (Video tutors) <--
Code:
  1.     Software Reverse Engineering with Ghidra -- Setup and installation
  2.     Software Reverse Engineering with Ghidra -- How to import files and get started
  3.     Software Reverse Engineering with Ghidra -- Creating Structures
  4.     Software Reverse Engineering with Ghidra -- Creating Arrays and Changing Function Signatures
  5.     Software Reverse Engineering with Ghidra -- C++ Classes Part 1, Part 2,  Part 3
  6.     Software Reverse Engineering with Ghidra -- C++ Classes Stack and Global Classes

--> GHIDRA | Reverse Engineering a PWN Challenge <--

--> Модернизация GHIDRA. Загрузчик для ромов Sega Mega Drive <--
--> Хакер - Ghidra vs crackme. Обкатываем конкурента IDA Pro на примере решения хитрой крэкми с VM <--
--> Reverse Engineering Gootkit with Ghidra Part I <--
--> A few Ghidra tips for IDA users, part 0 - automatic comments for API call parameter <--
--> Implementing a New CPU Architectures <--
--> Toshiba MeP-c4 for Ghidra <--
Ghidra --> utilities <--for analyzing firmware

-----
ds


| Сообщение посчитали полезным: SReg, sefkrd, CyberGod, Vnv, Gideon Vi, cppasm, mak, v00doo, Rio, Orlyonok, sergio12, kp0m, memadm, Hugo Chaves, DICI BF, HandMill


Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 06 марта 2019 04:27 · Поправил: plutos
· Личное сообщение · #2

гидра изрыгает нули и единицы, это бинарный код, при переводе в ASCII дает
"Hello World!"

-----
Give me a HANDLE and I will move the Earth.





Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 06 марта 2019 04:29 · Поправил: f13nd
· Личное сообщение · #3

Сама символика - переделанный уроборос.

На самом деле штука интересная, очень располагающая к копанию-допиливанию. Только гляньте как там процессорные плугины устроены. Сказка.

-----
2 оттенка серого




Ранг: 50.0 (постоянный), 31thx
Активность: 0.090.1
Статус: Участник

Создано: 06 марта 2019 06:21
· Личное сообщение · #4

Ильфак нервно передернул



Ранг: 33.8 (посетитель), 11thx
Активность: 0.020.01
Статус: Участник

Создано: 06 марта 2019 08:21
· Личное сообщение · #5

Выложите на обменник пожалуйста, а то на оффсайте CloudFront делает 403: The request could not be satisfied.




Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 06 марта 2019 08:37
· Личное сообщение · #6

https://github.com/NationalSecurityAgency/ghidra




Ранг: 59.5 (постоянный), 326thx
Активность: 0.170.76
Статус: Участник

Создано: 06 марта 2019 09:11
· Личное сообщение · #7

awlost пишет:
Выложите на обменник пожалуйста, а то на оффсайте CloudFront делает 403: The request could not be satisfied.

Через тор качается.

| Сообщение посчитали полезным: Gideon Vi, ksol


Ранг: 527.7 (!), 381thx
Активность: 0.160.09
Статус: Участник
Победитель турнира 2010

Создано: 06 марта 2019 09:28 · Поправил: OKOB
· Личное сообщение · #8

Народ уже начал тыкать

GHIDRA | Reverse Engineering a PWN Challenge
https://www.youtube.com/watch?v=aCWI61QX1OU

First Look at Ghidra (NSA Reverse Engineering Tool)
https://youtu.be/285b_DEmvHY

Первые "закладки"
RCE Through JDWP Debug Port
https://github.com/NationalSecurityAgency/ghidra/issues/6

Ну и жаба дает себя знать.
Скорость начального анализа бинарей по сравнению с идой, в основном на эльфах, опции анализа дефолтные. Никакой статистики, просто числа.

формат / размер / ида / гидра
ELF SO / 50K / 1 сек / 1 сек
ELF SO / 100K / 1 сек / 3 сек
ELF SO / 550K / 5 сек / 13 сек
ELF SO / 1,2M / 13 сек / 1 мин 8 сек
ELF SO / 32M / 22 сек / 1 мин 23 сек
ELF SO + DWARF / 40M / 4 мин 7 сек / 23 мин 21 сек
PE DLL / 3M / 58 сек / 67 сек
PE DLL / 3M / 32 сек / 37 сек
PE DLL + RTTI / 30M / 26 сек / 16 мин 10 сек

x86 Instructions
NJBA - NSA Java Backdoor Activate

Презенташка с RSA
https://www.rsaconference.com/writable/presentations/file_upload/png-t09-come-get-your-free-nsa-reverse-engineering-tool_.pdf

-----
127.0.0.1, sweet 127.0.0.1


| Сообщение посчитали полезным: sty, sefkrd, bartolomeo

Ранг: 397.0 (мудрец), 179thx
Активность: 0.170.1
Статус: Участник

Создано: 06 марта 2019 09:45
· Личное сообщение · #9

awlost пишет:
Выложите на обменник пожалуйста, а то на оффсайте CloudFront делает 403: The request could not be satisfied


--> тут <--

-----
...или ты работаешь хорошо, или ты работаешь много...


| Сообщение посчитали полезным: awlost

Ранг: 64.9 (постоянный), 47thx
Активность: 0.120.02
Статус: Участник

Создано: 06 марта 2019 16:51
· Личное сообщение · #10

инструмент для красноглазиков
как декомпиль с армами?



Ранг: 251.3 (наставник), 81thx
Активность: 0.140.11
Статус: Участник

Создано: 06 марта 2019 17:33
· Личное сообщение · #11

Ну такое, на шару пойдёт
С одной стороны - куча архитектур, автоанализ, декомпиль, разбор RTTI и куча всего.
А с другой - закинул PE x64 на 30MB, и за пол дня оно автоанализ так и не закончило на трёх ядрах по 3.3ГГц.
Ида поудобнее в использовании...

| Сообщение посчитали полезным: sty


Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 06 марта 2019 21:14
· Личное сообщение · #12

А где-то в мире есть извращенцы с:
Code:
  1. idc.set_inf_attr(INFFL_AUTO,0)

в авторан-скрипте к иде Но замеры скорости автоанализа архиважнейшная штука.

-----
2 оттенка серого




Ранг: 251.3 (наставник), 81thx
Активность: 0.140.11
Статус: Участник

Создано: 06 марта 2019 22:02
· Личное сообщение · #13

Ну не то чтоб архиважнейшая...
Вот честно, я был готов ждать.
Но блин Ида минут за 20 разобрала, а Гидра за 4 часа так и не закончила.
И это 30МБ. А что будет если я PE на 350МБ закину, на который у Иды около часа уходит?
Сутками ждать что-ли?




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 06 марта 2019 22:07
· Личное сообщение · #14

cppasm пишет:
А что будет если я PE на 350МБ закину, на который у Иды около часа уходит?

Ну я только со своей колокольни вижу, обзоры с других колоколен мне не доступны. В иде для всего кроме интела я автоанализ намеренно отключаю. Менее распространенные архитектуры разбирает так, что дольше убирать потом за ней ее анализы. Так что вот. Пока имхо главный минус гидры это не куча, а кучка архитектур, но это надеюсь исправимо.

-----
2 оттенка серого




Ранг: 0.3 (гость)
Активность: 0=0
Статус: Участник

Создано: 06 марта 2019 22:08
· Личное сообщение · #15

Заметил такую фигню, что декомпилер не разбирает аргументы положенные с помощью mov, к примеру:
ида разобрала правильно: ,
а вот гидра облажалась

или это как то включается в гидре, так и не смог понять




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 06 марта 2019 22:17 · Поправил: f13nd
· Личное сообщение · #16

43-j пишет:
или это как то включается в гидре, так и не смог понять

Видно, что в гидре выбран прототип __stdcall, ecx в его аргументы не входит. Попробуй прототип сменить.

ЗЫ: нужный в ней есть ghidra_9.0\Ghidra\Processors\x86\data\languages\x86win.cspec, осталось придумать как включить

-----
2 оттенка серого


| Сообщение посчитали полезным: 43-j

Ранг: 80.6 (постоянный), 194thx
Активность: 0.10.04
Статус: Участник

Создано: 06 марта 2019 22:52 · Поправил: v00doo
· Личное сообщение · #17

Декомпиль, декомпиль, чего вы к нему прицепились, вы видели сколько там всяких сценариев, да оно в разы документирование иды
Ну а еще там можно всяких интересностей накопать может =)

Для фри софта оно очень даже годное, если говорить уж так, мы тут потыкали его, некоторые плюшки реализованы даже лучше, чем в ida, как минимум они интересные, мелочи вроде, а очень часто их не хватало тот же прыг в огромном графе на начало, расцветка.

Ксатаи да, как настроить шрифт, уже кто нашел ?




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 06 марта 2019 23:09
· Личное сообщение · #18

v00doo пишет:
Ксатаи да, как настроить шрифт, уже кто нашел

Ага, спрятано глубоко Edit-Tool Options --> Link <--

-----
2 оттенка серого




Ранг: 80.6 (постоянный), 194thx
Активность: 0.10.04
Статус: Участник

Создано: 06 марта 2019 23:14 · Поправил: v00doo
· Личное сообщение · #19

f13nd, ага, да там целый простор (сразу в этом пункте и не заметил конфига общего)
Но иконки на винде с 120ddpi брррр




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 06 марта 2019 23:18 · Поправил: f13nd
· Личное сообщение · #20

Ну вобщем это фри и в то же время изначально не фри. Идеально. Совершенно бесплатный пармезан без мышеловки.

-----
2 оттенка серого





Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 06 марта 2019 23:38
· Личное сообщение · #21

если кто еще не видел:

in the Ghidra install directory in "Extensions/IDAPro/Python/{6xx,7xx}"
живут
IDA Exporters - plugins for IDA which facilitate the transfer of annotations from IDA Pro to Ghidra. Based on IDAPython.

-----
Give me a HANDLE and I will move the Earth.




Ранг: 251.3 (наставник), 81thx
Активность: 0.140.11
Статус: Участник

Создано: 07 марта 2019 01:36 · Поправил: cppasm
· Личное сообщение · #22

f13nd пишет:
Пока имхо главный минус гидры это не куча, а кучка архитектур, но это надеюсь исправимо.

А чего не хватает?
x86, x86-64, ARM, MIPS, PowerPC.
Все ходовые вроде есть.
Хотя у всех конечно своя специфика...




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 07 марта 2019 01:44 · Поправил: f13nd
· Личное сообщение · #23

cppasm пишет:
Всё ходовые вроде есть.

Ходовое да, ходовое и капстоун и все его производные поддерживают. Нету продукции Renesas, Infineon, Siemens. Из того, что есть, PowerPC интересен и тот не очень.

-----
2 оттенка серого





Ранг: 44.2 (посетитель), 69thx
Активность: 0.140.02
Статус: Участник

Создано: 07 марта 2019 01:59
· Личное сообщение · #24

о ништяк, её уже добавили в aur пакеты, хоть будет повод себе поставить засранца теперь, бгг

| Сообщение посчитали полезным: sefkrd


Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 07 марта 2019 03:57
· Личное сообщение · #25

А я дурачек и сдк не разглядел в комплекте. Еклипс с антом, установить сдк и можно конпелировать.

-----
2 оттенка серого




Ранг: 112.9 (ветеран), 186thx
Активность: 0.090.01
Статус: Участник

Создано: 07 марта 2019 04:42
· Личное сообщение · #26

Кто-то проверил качество декомпиляции, возможность создавать структуры, чтобы подхватывались декомпилятором?

Возможность написать свой загрузчик?



Ранг: -26.7 (нарушитель), 7thx
Активность: 0.060.08
Статус: Участник

Создано: 07 марта 2019 08:46
· Личное сообщение · #27

f13nd пишет:
А я дурачек и ...

А я тогда кто?


Просьба к сильным сайта сего и не только. Если не трудно и позволяет время - пишите про свои замечания и наблюдения в отношении GHIDRA. Даже если что-то вам кажется мелочью и не столь существенным, все равно это будет интересно людям у которых небогатый опыт работы с подобными программами.




Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 07 марта 2019 10:46
· Личное сообщение · #28

sty пишет:
пишите про свои замечания и наблюдения в отношении GHIDRA.


url=https://www.reddit.com/r/ReverseEngineering/comments/ax2gma/ghidra_stickied_thread/ehvto2u/

-----
Give me a HANDLE and I will move the Earth.


| Сообщение посчитали полезным: sty, kp0m


Ранг: 158.5 (ветеран), 219thx
Активность: 0.120.01
Статус: Участник

Создано: 07 марта 2019 17:25
· Личное сообщение · #29

Британский ИБ-эксперт и глава Hacker House Мэтью Хики (Matthew Hickey) заметил, что в отладочном режиме инструмент АНБ открывает и «слушает» сетевой порт 18001, что позволяет подключиться к Ghidra удаленно, через JDWP (разумеется, с целью все той же отладки). Хики отмечает, что исправить проблему совсем несложно.

-----
One death is a tragedy, one million is a statistic.


| Сообщение посчитали полезным: plutos


Ранг: 527.7 (!), 381thx
Активность: 0.160.09
Статус: Участник
Победитель турнира 2010

Создано: 07 марта 2019 21:21 · Поправил: OKOB
· Личное сообщение · #30

Хайп набирает силу.

Твиттер аккаунт от имени гидры: https://twitter.com/GHIDRA_RE

Дока по API: http://ghidra.re/ghidra_docs/api/

Онлайн курсы: http://ghidra.re/online-courses/

-----
127.0.0.1, sweet 127.0.0.1


| Сообщение посчитали полезным: SReg, 43-j, sty, barukai
. 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>
 eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати