A software reverse engineering (SRE) suite of tools developed by NSA's Research Directorate in support of the Cybersecurity mission

It helps analyze malicious code and malware like viruses, and can give cybersecurity professionals a better understanding of potential vulnerabilities in their networks and systems.


GHIDRA 9.1.1 released !
--> Changelog <--
--> Download <--
--> GHIDRA Sources [github] <--

--> CheatSheet: <--

--> Презентация с RSA <--

--> Twitter от имени гидры: <--
--> Онлайн курсы: <--
--> Документация по API <--

--> Daenerys <-- is an interop framework that allows you to run IDAPython scripts under Ghidra and Ghidra scripts under IDA Pro with little to no modifications.
--> FindCrypt - Ghidra Edition <--
Using --> OOAnalyzer <--<-- to Reverse Engineer Object Oriented Code with Ghidra
--> GhidraX64Dbg <--:
--> An Abstract Interpretation-Based Deobfuscation <--
Cisco Talos is releasing two new tools for IDA Pro: --> Ghidraaas <-- and --> GhIDA <-- :
Automating --> Ghidra <--: writing a script to find banned functions
--> Канал гидры на youtube: <--
Список видео на канале:
--> Software Reverse Engineering with Ghidra (Video tutors) <--

--> GHIDRA | Reverse Engineering a PWN Challenge <--

--> Модернизация GHIDRA. Загрузчик для ромов Sega Mega Drive <--
--> Хакер - Ghidra vs crackme. Обкатываем конкурента IDA Pro на примере решения хитрой крэкми с VM <--
--> Reverse Engineering Gootkit with Ghidra Part I <--
--> A few Ghidra tips for IDA users, part 0 - automatic comments for API call parameter <--
--> Implementing a New CPU Architectures <--
--> Toshiba MeP-c4 for Ghidra <--
Ghidra --> utilities <--for analyzing firmware

-----
ds

| Сообщение посчитали полезным: SReg, sefkrd, CyberGod, Vnv, Gideon Vi, cppasm, mak, v00doo, Rio, Orlyonok, sergio12, kp0m, memadm, Hugo Chaves, DICI BF, HandMill

гидра изрыгает нули и единицы, это бинарный код, при переводе в ASCII дает
"Hello World!"

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Сама символика - переделанный уроборос.

На самом деле штука интересная, очень располагающая к копанию-допиливанию. Только гляньте как там процессорные плугины устроены. Сказка.

-----
2 оттенка серого

| Сообщение посчитали полезным:

Ильфак нервно передернул

| Сообщение посчитали полезным:

Выложите на обменник пожалуйста, а то на оффсайте CloudFront делает 403: The request could not be satisfied.

| Сообщение посчитали полезным:

https://github.com/NationalSecurityAgency/ghidra

| Сообщение посчитали полезным:

awlost пишет:
Выложите на обменник пожалуйста, а то на оффсайте CloudFront делает 403: The request could not be satisfied.
Через тор качается.

| Сообщение посчитали полезным: Gideon Vi, ksol

Народ уже начал тыкать

GHIDRA | Reverse Engineering a PWN Challenge
https://www.youtube.com/watch?v=aCWI61QX1OU

First Look at Ghidra (NSA Reverse Engineering Tool)
https://youtu.be/285b_DEmvHY

Первые "закладки"
RCE Through JDWP Debug Port
https://github.com/NationalSecurityAgency/ghidra/issues/6

Ну и жаба дает себя знать.
Скорость начального анализа бинарей по сравнению с идой, в основном на эльфах, опции анализа дефолтные. Никакой статистики, просто числа.

формат / размер / ида / гидра
ELF SO / 50K / 1 сек / 1 сек
ELF SO / 100K / 1 сек / 3 сек
ELF SO / 550K / 5 сек / 13 сек
ELF SO / 1,2M / 13 сек / 1 мин 8 сек
ELF SO / 32M / 22 сек / 1 мин 23 сек
ELF SO + DWARF / 40M / 4 мин 7 сек / 23 мин 21 сек
PE DLL / 3M / 58 сек / 67 сек
PE DLL / 3M / 32 сек / 37 сек
PE DLL + RTTI / 30M / 26 сек / 16 мин 10 сек

x86 Instructions
NJBA - NSA Java Backdoor Activate

Презенташка с RSA
https://www.rsaconference.com/writable/presentations/file_upload/png-t09-come-get-your-free-nsa-reverse-engineering-tool_.pdf

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: sty, sefkrd, bartolomeo

awlost пишет:
Выложите на обменник пожалуйста, а то на оффсайте CloudFront делает 403: The request could not be satisfied

--> тут <--

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным: awlost

инструмент для красноглазиков
как декомпиль с армами?

| Сообщение посчитали полезным:

Ну такое, на шару пойдёт
С одной стороны - куча архитектур, автоанализ, декомпиль, разбор RTTI и куча всего.
А с другой - закинул PE x64 на 30MB, и за пол дня оно автоанализ так и не закончило на трёх ядрах по 3.3ГГц.
Ида поудобнее в использовании...

| Сообщение посчитали полезным: sty

А где-то в мире есть извращенцы с:

в авторан-скрипте к иде Но замеры скорости автоанализа архиважнейшная штука.

-----
2 оттенка серого

| Сообщение посчитали полезным:

Ну не то чтоб архиважнейшая...
Вот честно, я был готов ждать.
Но блин Ида минут за 20 разобрала, а Гидра за 4 часа так и не закончила.
И это 30МБ. А что будет если я PE на 350МБ закину, на который у Иды около часа уходит?
Сутками ждать что-ли?

| Сообщение посчитали полезным:

cppasm пишет:
А что будет если я PE на 350МБ закину, на который у Иды около часа уходит?
Ну я только со своей колокольни вижу, обзоры с других колоколен мне не доступны. В иде для всего кроме интела я автоанализ намеренно отключаю. Менее распространенные архитектуры разбирает так, что дольше убирать потом за ней ее анализы. Так что вот. Пока имхо главный минус гидры это не куча, а кучка архитектур, но это надеюсь исправимо.

-----
2 оттенка серого

| Сообщение посчитали полезным:

Заметил такую фигню, что декомпилер не разбирает аргументы положенные с помощью mov, к примеру:
ида разобрала правильно: ,
а вот гидра облажалась

или это как то включается в гидре, так и не смог понять

| Сообщение посчитали полезным:

43-j пишет:
или это как то включается в гидре, так и не смог понять
Видно, что в гидре выбран прототип __stdcall, ecx в его аргументы не входит. Попробуй прототип сменить.

ЗЫ: нужный в ней есть ghidra_9.0\Ghidra\Processors\x86\data\languages\x86win.cspec, осталось придумать как включить

-----
2 оттенка серого

| Сообщение посчитали полезным: 43-j

Декомпиль, декомпиль, чего вы к нему прицепились, вы видели сколько там всяких сценариев, да оно в разы документирование иды
Ну а еще там можно всяких интересностей накопать может =)

Для фри софта оно очень даже годное, если говорить уж так, мы тут потыкали его, некоторые плюшки реализованы даже лучше, чем в ida, как минимум они интересные, мелочи вроде, а очень часто их не хватало тот же прыг в огромном графе на начало, расцветка.

Ксатаи да, как настроить шрифт, уже кто нашел ?

| Сообщение посчитали полезным:

v00doo пишет:
Ксатаи да, как настроить шрифт, уже кто нашел
Ага, спрятано глубоко Edit-Tool Options --> Link <--

-----
2 оттенка серого

| Сообщение посчитали полезным:

f13nd, ага, да там целый простор (сразу в этом пункте и не заметил конфига общего)
Но иконки на винде с 120ddpi брррр

| Сообщение посчитали полезным:

Ну вобщем это фри и в то же время изначально не фри. Идеально. Совершенно бесплатный пармезан без мышеловки.

-----
2 оттенка серого

| Сообщение посчитали полезным:

если кто еще не видел:

in the Ghidra install directory in "Extensions/IDAPro/Python/{6xx,7xx}"
живут
IDA Exporters - plugins for IDA which facilitate the transfer of annotations from IDA Pro to Ghidra. Based on IDAPython.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

f13nd пишет:
Пока имхо главный минус гидры это не куча, а кучка архитектур, но это надеюсь исправимо.
А чего не хватает?
x86, x86-64, ARM, MIPS, PowerPC.
Все ходовые вроде есть.
Хотя у всех конечно своя специфика...

| Сообщение посчитали полезным:

cppasm пишет:
Всё ходовые вроде есть.
Ходовое да, ходовое и капстоун и все его производные поддерживают. Нету продукции Renesas, Infineon, Siemens. Из того, что есть, PowerPC интересен и тот не очень.

-----
2 оттенка серого

| Сообщение посчитали полезным:

о ништяк, её уже добавили в aur пакеты, хоть будет повод себе поставить засранца теперь, бгг

| Сообщение посчитали полезным: sefkrd

А я дурачек и сдк не разглядел в комплекте. Еклипс с антом, установить сдк и можно конпелировать.

-----
2 оттенка серого

| Сообщение посчитали полезным:

Кто-то проверил качество декомпиляции, возможность создавать структуры, чтобы подхватывались декомпилятором?

Возможность написать свой загрузчик?

| Сообщение посчитали полезным:

f13nd пишет:
А я дурачек и ...
А я тогда кто?


Просьба к сильным сайта сего и не только. Если не трудно и позволяет время - пишите про свои замечания и наблюдения в отношении GHIDRA. Даже если что-то вам кажется мелочью и не столь существенным, все равно это будет интересно людям у которых небогатый опыт работы с подобными программами.

| Сообщение посчитали полезным:

sty пишет:
пишите про свои замечания и наблюдения в отношении GHIDRA.

url=https://www.reddit.com/r/ReverseEngineering/comments/ax2gma/ghidra_stickied_thread/ehvto2u/

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: sty, kp0m

Британский ИБ-эксперт и глава Hacker House Мэтью Хики (Matthew Hickey) заметил, что в отладочном режиме инструмент АНБ открывает и «слушает» сетевой порт 18001, что позволяет подключиться к Ghidra удаленно, через JDWP (разумеется, с целью все той же отладки). Хики отмечает, что исправить проблему совсем несложно.

-----
One death is a tragedy, one million is a statistic.

| Сообщение посчитали полезным: plutos

Хайп набирает силу.

Твиттер аккаунт от имени гидры: https://twitter.com/GHIDRA_RE

Дока по API: http://ghidra.re/ghidra_docs/api/

Онлайн курсы: http://ghidra.re/online-courses/

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: SReg, 43-j, sty, barukai