Сейчас на форуме: bartolomeo, -Sanchez-, morgot, sashalogout (+5 невидимых)

 eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>
Посл.ответ Сообщение


Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 06 марта 2019 04:20 · Поправил: DimitarSerg
· Личное сообщение · #1



A software reverse engineering (SRE) suite of tools developed by NSA's Research Directorate in support of the Cybersecurity mission

It helps analyze malicious code and malware like viruses, and can give cybersecurity professionals a better understanding of potential vulnerabilities in their networks and systems.


GHIDRA 9.1.1 released !
--> Changelog <--
--> Download <--
--> GHIDRA Sources [github] <--

--> CheatSheet: <--

--> Презентация с RSA <--

--> Twitter от имени гидры: <--
--> Онлайн курсы: <--
--> Документация по API <--

--> Daenerys <-- is an interop framework that allows you to run IDAPython scripts under Ghidra and Ghidra scripts under IDA Pro with little to no modifications.
--> FindCrypt - Ghidra Edition <--
Using --> OOAnalyzer <--<-- to Reverse Engineer Object Oriented Code with Ghidra
--> GhidraX64Dbg <--:
Code:
  1. * Extract annotations from Ghidra into an X32/X64 dbg database
  2. * Extension containing a Ghidra script to export annotations from Ghidra to an x32dbg/x64dbg database.
--> An Abstract Interpretation-Based Deobfuscation <--
Cisco Talos is releasing two new tools for IDA Pro: --> Ghidraaas <-- and --> GhIDA <-- :
Code:
  1. GhIDA is an IDA Pro plugin that integrates the Ghidra decompiler in the IDA workflow, giving users the ability to rename and highlight symbols and improved navigation and comments. GhIDA assists the reverse-engineering process by decompiling x86 and x64 PE and ELF binary functions, using either a local installation of Ghidra, or Ghidraaas ( Ghidra as a Service) — a simple docker container that exposes the Ghidra decompiler through REST APIs
Automating --> Ghidra <--: writing a script to find banned functions
--> Канал гидры на youtube: <--
Список видео на канале:
Code:
  1. 1. Ghidra quickstart & tutorial: Solving a simple crackme
  2. 2. Reverse engineering with #Ghidra: Breaking an embedded firmware encryption scheme
  3. 3. Reversing WannaCry Part 1 in Ghidra
--> Software Reverse Engineering with Ghidra (Video tutors) <--
Code:
  1.     Software Reverse Engineering with Ghidra -- Setup and installation
  2.     Software Reverse Engineering with Ghidra -- How to import files and get started
  3.     Software Reverse Engineering with Ghidra -- Creating Structures
  4.     Software Reverse Engineering with Ghidra -- Creating Arrays and Changing Function Signatures
  5.     Software Reverse Engineering with Ghidra -- C++ Classes Part 1, Part 2,  Part 3
  6.     Software Reverse Engineering with Ghidra -- C++ Classes Stack and Global Classes

--> GHIDRA | Reverse Engineering a PWN Challenge <--

--> Модернизация GHIDRA. Загрузчик для ромов Sega Mega Drive <--
--> Хакер - Ghidra vs crackme. Обкатываем конкурента IDA Pro на примере решения хитрой крэкми с VM <--
--> Reverse Engineering Gootkit with Ghidra Part I <--
--> A few Ghidra tips for IDA users, part 0 - automatic comments for API call parameter <--
--> Implementing a New CPU Architectures <--
--> Toshiba MeP-c4 for Ghidra <--
Ghidra --> utilities <--for analyzing firmware

-----
ds


| Сообщение посчитали полезным: SReg, sefkrd, CyberGod, Vnv, Gideon Vi, cppasm, mak, v00doo, Rio, Orlyonok, sergio12, kp0m, memadm, Hugo Chaves, DICI BF, HandMill


Ранг: 127.3 (ветеран), 44thx
Активность: 0.090
Статус: Участник

Создано: 27 марта 2019 18:16
· Личное сообщение · #2

GHIDRA 9.0.1 has been released with many bugfixes!
Changelog: https://ghidra-sre.org/releaseNotes.html
Download: https://ghidra-sre.org/

ghidra_9.0.1_PUBLIC_20190325.zip
SHA-256
58ffa488e6dc57e2c023670c1dfac0469bdb6f4e7da98f70610d9f561b65c774
https://www.sendspace.com/file/r8t0zv

-----
zzz




Ранг: 56.2 (постоянный), 22thx
Активность: 0.030.08
Статус: Участник

Создано: 27 марта 2019 18:42
· Личное сообщение · #3

багфиксы это хорошо - а то я хотел было посмотреть как она Objective-C разбирает - на первый взляд намного лучше чем IDA - но через час Гидра зависла




Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 28 марта 2019 00:38 · Поправил: DimitarSerg
· Личное сообщение · #4

Reversing WannaCry Part 1 in Ghidra

https://www.youtube.com/watch?v=Sv8yu12y5zM

Добавлено спустя 5 минут
Шапку обновил, добавил информацию о новой версии, и с темы собрал все ссылки интересные.

-----
ds


| Сообщение посчитали полезным: sefkrd, sty

Ранг: 64.9 (постоянный), 47thx
Активность: 0.120.02
Статус: Участник

Создано: 29 марта 2019 21:47 · Поправил: hash87szf
· Личное сообщение · #5

ghidra function id hash ~ ida flair

https://ghidra.online/Ghidra/Features/FunctionID/lib/FunctionID.jar/help/topics/FunctionID/FunctionID.html

Code:
  1. Hashing
  2.  
  3. Function ID works by calculating a cumulative hash over all the machine instructions that make up the body of a function. For each function, two different 64-bit hashes are computed: a full hash and a specific hash. Both schemes hash the individual instructions of the function body in address order, but they differ in the amount of information they include from each instruction.
  4.  
  5. full hash
  6.  
  7.     This hash includes the mnemonic and some of the addressing mode information from an instruction. Specific register operands are also included as part of the hash, but the specific value of constant operands are not. 
  8. specific hash
  9.  
  10.     This hash includes everything used in the full hash but may also include the specific values of any constant operands. A heuristic is employed that attempts to determine if the constant is not part of an address, in which case the value is accumulated into the hash. 
  11.  
  12. Both hashes are used to identify matches in a database. The full hash is <b>robust </b>against changes due to linking; the specific hash helps distinguish between closely related variants of a function.


Code:
  1. For Windows system code, the top 70 or so symbols from
  2. each list, generated for the libraries listed below, were merged and deduped to produce the final common_symbols_win32.txt.
  3.  
  4. Visual Studio 1998 Debug
  5. Visual Studio 1998 Release...


5мб на 100 функций... ???


common_symbols_win32
Code:
  1. ??$AtlMultiply@I@ATL@@YAJPAIII@Z
  2. ??0?$CHeapPtr@_WVCCRTAllocator@ATL@@@ATL@@QAE@XZ
  3. ??0?$CSimpleStringT@D$0A@@ATL@@QAE@PAUIAtlStringMgr@1@@Z
  4. ??0?$CSimpleStringT@_W$0A@@ATL@@QAE@PAUIAtlStringMgr@1@@Z
  5. ??0?$CStringT@DV?$StrTraitMFC@DV?$ChTraitsCRT@D@ATL@@@@@ATL@@QAE@XZ
  6. ??0?$CStringT@_WV?$StrTraitMFC@_WV?$ChTraitsCRT@_W@ATL@@@@@ATL@@QAE@PB_W@Z
  7. ...
  8.  


MessageDigestFidHasher.java
фуллхэш не понял как генерят, видать просто мнемоники подряд...


хэш не похож на фуззи...
похож на просто хэш...
мож я просто не понял, не смотрел как сравнивают их



заменив один бит операнда, specific хеш поменялся полностю. никакой он не фуззи короч...
заменив пуш на ноп, fullhash ёбнулся... нда...


эта херня """robust""" xD если меняются только операнды...




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 29 марта 2019 22:05
· Личное сообщение · #6

Чем гадать нашел бы в исходниках FunctionID-src.zip\ghidra\feature\fid\hash\MessageDigestFidHasher.java

-----
2 оттенка серого




Ранг: 64.9 (постоянный), 47thx
Активность: 0.120.02
Статус: Участник

Создано: 29 марта 2019 22:24
· Личное сообщение · #7

а скрины кода я откуда взял?




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 29 марта 2019 22:37 · Поправил: f13nd
· Личное сообщение · #8

-

-----
2 оттенка серого




Ранг: 64.9 (постоянный), 47thx
Активность: 0.120.02
Статус: Участник

Создано: 29 марта 2019 23:15
· Личное сообщение · #9

f13nd пишет:
странно, что не разобрался

Ндык, то шо вы описываете у меня уже написано.
Тупо хэш mnemonic и operands отдельно, кол.во call'ав, склеивание.

Алсо, "адреса" в specific, это если операнд похож на адрес, а не адрес опкода, так?
Вопрос: какого хера разые mix function для операндов?


Вопрос: как точно хэшутся mnemonic для fullhash?
Пример:
90 | nop
50 | push eax
33D2 | xor edx, edx
Какой хэш? Вот в этом я не разбирался но хочу знать.




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 29 марта 2019 23:38 · Поправил: f13nd
· Личное сообщение · #10

Наврал про опкод, маска там для выборки из списка релоков нужна.
Code:
  1. for (i=1;i<количество операндов инструкции+1;i++){
  2.          full_upd = i*7777
  3.          spec_upd = i*7777
  4.          for (каждый объект операнда) {     //адрес, регистр, константа - то, что входит в операнд
  5.                  if (константа/адрес) {
  6.                         if (в операнде релоцируемая константа) {
  7.                               val = 0xfeeddead
  8.                         } else if (адрес) {
  9.                               val = 0xfeeddead
  10.                         } else if (скалярная константа) {
  11.                               val = константа
  12.                         } else if (не скалярная константа, влазит в 1 байт без знака) {
  13.                               val = константа
  14.                         } else {
  15.                               val = 0xfeeddead
  16.                         }
  17.                         //...
  18.                  } else if (регистр) {
  19.                         //...
  20.                  } else if (оффсет - адрес, но не число, а смещение) {
  21.                         //...
  22.                  }
  23.                  full.update(full_part)
  24.                  spec.update(spec_part)
  25.          }
  26. }

Вобщем хеширует раскодированные операнды инструкции по этим правилам. Ноп в хеш не попадет, eax будет 0, edx будет 16, подставь (в ia.sinc написаны оффсеты, это отдельное адресное пространство для регистров, устроенное так, чтобы ax/al/ah совпадали с нужным байтом/словом в rax/eax например).

Добавлено спустя 12 минут
И в конце
Code:
  1. fullDigest.update(buffer, 0, actualNumberRead);
  2. specificDigest.update(buffer, 0, actualNumberRead);

где
Code:
  1. int actualNumberRead = memory.getBytes(minAddress, buffer, 0, amountToFetch);

getBytes​(Address addr, byte[] dest, int destIndex, int size)
Get size number of bytes starting at the given address and populates dest starting at dIndex.
Короче шляпа.

-----
2 оттенка серого




Ранг: 44.8 (посетитель), 19thx
Активность: 0.040
Статус: Участник

Создано: 30 марта 2019 00:44
· Личное сообщение · #11

А ктонибудь может гидру сравнить с хексреем? Ну как бы гидра мощнее по процессорным модулям(я про аналог в иде), а конкретно по декомпилю х86-х64, кто фаворит?



Ранг: 64.9 (постоянный), 47thx
Активность: 0.120.02
Статус: Участник

Создано: 30 марта 2019 05:02 · Поправил: hash87szf
· Личное сообщение · #12

ida68 x86 32bit
https://i.imgur.com/6Fr71yq.png
https://i.imgur.com/SQENyrY.png
https://i.imgur.com/3TimO7s.png
https://i.imgur.com/TiR8e8Q.png







Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 30 марта 2019 05:22
· Личное сообщение · #13

Если там снять галку 'eliminate unreachable code', можно конструкции типа if (true) {} else {} наблюдать. Из-за особенностей устройства декомпиля.

-----
2 оттенка серого





Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 30 марта 2019 05:38
· Личное сообщение · #14

hash87szf, делай скрины в формате "эскиз с увеличением по клику", плиз. На разрешения меньше fullhd разметку рвет в клочья.



Ранг: 64.9 (постоянный), 47thx
Активность: 0.120.02
Статус: Участник

Создано: 30 марта 2019 16:30 · Поправил: hash87szf
· Личное сообщение · #15

а на каких браузерах рвёт? у мну просто появляется скролл горизонтальный (кром, фф)





Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 31 марта 2019 16:38
· Личное сообщение · #16

Хакер - Ghidra vs crackme. Обкатываем конкурента IDA Pro на примере решения хитрой крэкми с VM
https://telegra.ph/Haker---Ghidra-vs-crackme-Obkatyvaem-konkurenta-IDA-Pro-na-primere-resheniya-hitroj-krehkmi-s-VM-03-31

Добавил в шапку.

-----
ds




Ранг: 1.2 (гость), 1thx
Активность: 0.010
Статус: Участник

Создано: 03 апреля 2019 14:23
· Личное сообщение · #17

Потестил немного, всё работает на десятой винде и Kali Linux 2019.1 (x64). Глюков пока не замечал. Дизасм и декомпиль работают штатно, анализы довольно быстрые, хотя конечно в скорости уступают Ida. Скрипты джавовские также протестил некоторые, ошибок не замечал. Единственное, почему-то на винде не запустился встроенный Jython. Ассемблер тоже нормально собирает патченные PE... Но по большому счету пока уступает связке IDA+Hexrays, хотя всё может довольно скоро измениться если коммьюнити будет усердно допиливать эту штуковину.

Добавлено спустя 5 минут
Кстати, курсы на ghidra.re довольно слабые... Лучше курить официальные доки по апи или видео уроки на ютубе (посмотрел эти три что в шапке, отличный материал). Не хватает глубоких туториалов по скриптам и плагинам. Хотя крутые исследователи уже пилят добротные плагины, одна Дейнерис чего стоит))



Ранг: 7.5 (гость), 10thx
Активность: 0.010.03
Статус: Участник

Создано: 04 апреля 2019 16:26
· Личное сообщение · #18

Появились
Source of the GHIDRA



Ранг: 81.6 (постоянный), 102thx
Активность: 0.060.02
Статус: Участник

Создано: 04 апреля 2019 16:31
· Личное сообщение · #19


Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 05 апреля 2019 04:54
· Личное сообщение · #20

Dart Raiden
Добавил в шапку !

Ghidra v9.0.2 (April 2019)

Code:
  1.         Analysis. Constant reference analysis boundary controls for speculative references has been fixed. Speculative references are references created from computed constants passed as parameters, stored to a location, or from indexed offsets from a register. (Issue #228)
  2.         Decompiler. Fixed rendering bug in the Decompiler when the "Find" dialog is closed. (Issue #282)
  3.         Decompiler. Fixed decompiler handling of Function Definition data types. (Issue #247)
  4.         Decompiler. Fixed "Free Varnode" exception in RuleConditionalMove. (Issue #294)
  5.         Diff. Fixed exceptions that can occur in the Diff View for programs with overlays.
  6.         Documentation. Corrected the spelling of "listener" throughout the source code. (Issue #235)
  7.         Exporter. Exporting a selection as Intel Hex will now allow a selection of any length. Previously this was restricted to multiples of 16 bytes. (Issue #260)
  8.         GUI. Fixed exception that occurs after disabling MyProgramChangesDisplayPlugin.
  9.         GUI. Updated the "Open Program" dialog to disallow file drop operations. (Issue #252)
  10.         Languages. The ARM Thumb CMP.and LSL isntructions have been changed to correctly decode. There are still issues to work out with Unpredictable execution when Rd is the PC. (Issue #280)
  11.         Multi-User:Ghidra Server. Corrected bug introduced into ghidraSvr.bat which could prevent Ghidra Server startup (Issue #279)
  12.         Scripting. MultiInstructionMemReference script has been corrected to consider input and output registers when placing a reference on an instruction.


-----
ds




Ранг: 1.2 (гость), 1thx
Активность: 0.010
Статус: Участник

Создано: 05 апреля 2019 05:50 · Поправил: S00mbre
· Личное сообщение · #21

Мой первый видео-туториал по Гидре (разбираем простой крякми):
https://www.youtube.com/watch?v=Lu3O6ikXMm4

Enjoy!

| Сообщение посчитали полезным: dma


Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 05 апреля 2019 06:22
· Личное сообщение · #22

лучше бы ее на С/С++ переписали с интерфейсом на QT
а так конечно ява ппц, памяти сразу 1+ гиг на простеньких мегабайтных файлах
где ида порядка 200-300 метров

да юзабилити нулевое
то что в иде делается за минуты и пять нажатий
в гидре в десять раз дольше

декомпилер в качестве декомпиляции конечно проигрывает иде
но ида проигрывает в возможностях декомпиляции на не поддерживаемых платформах

странно что все на хайпе пытаются кое какие простенькие разборы сделать
лучше бы сложные примеры декомпиляции делали
это бы давало понимание возможностям инструмента

| Сообщение посчитали полезным: dma


Ранг: 331.1 (мудрец), 561thx
Активность: 0.190.06
Статус: Участник

Создано: 05 апреля 2019 09:00
· Личное сообщение · #23

а так конечно ява ппц, памяти сразу 1+ гиг на простеньких мегабайтных файлах
память в принципе второстепенна до определенного предела, а вот быстродействие на С++ можно было бы увеличить раза в 2-3...

-----
Everything is relative...




Ранг: -12.6 (нарушитель), 11thx
Активность: 0.050.03
Статус: Участник

Создано: 05 апреля 2019 09:14 · Поправил: dma
· Личное сообщение · #24

reversecode, а в перспективе довести до ума Гидру могут или Ява сразу ставит крест на всем?

Еще вот что интересно: ведь как ни крути, а программа писалАсь для/по заказу
АНБ - неужели не догадывались, что Ява не лучший выбор? У вас есть, на этот счет,
свои (пусть и субъективные) предположения? Кстати, мнения других тоже интересны.

Вам она, при всех ее недостатках, может в каких-либо случаях пригодиться?
Например, для тех же неподдерживаемых платформ?
Возможно, и еще какие-нибудь задачи могут быть где Гидра предпочтительней?


S00mbre, у вас, в принципе, неплохо обучающее видео получилось. Особенно, если учесть, что первое.
Гораздо лучше, чем у Яшечки (не в обиду). Избавиться от слов "паразитов" и вообще будет на уровне.
Так можно и на Иду что-нибудь интересное сделать - тоже, я думаю, многим будет интересно.
В общем, за это вот все и поставил вам плюс. Удачи вам.


P.S. Тут еще и вопрос привычки может иногда мешать объективности.
Шутка ли, если человек 10-15 лет использовал Иду и вдруг раз и сразу перестроиться на Гидру.
Особенно, если написано много всяких своих скриптов для разных ситуаций. Даже если бы она была не хуже Иды.


P.P.S. Опять Дуся Рутковская скажет, что я подлизываюсь к reversecode'ру и накручиваю бредогенератором свой ранг.




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 05 апреля 2019 10:08 · Поправил: reversecode
· Личное сообщение · #25

для меня память критичная
в средне солнечный день у меня от 6+ открытых ида
в дождливый минимум 3+
по другому разбирать не возможно
и с со средне статическим бинарем сама ида может сожрать до 500метров памяти(был как то файл и на два гига)
поскольку смотрится и разбирается разные версии одной и той же проги или похожего функционала

на ноуте 16 гиг памяти из которых прожорливый хром жрет почти 5+ гиг

инвестировать в большее железо и больше памяти для гидры смысла не вижу
а использование явы ставит крест на гидре с попытками уменьшения ее потребления

по мелочам могу рассказать
брал прошивку девайса на mk68, у меня есть эти же прошивки уже разобранные под идой и рейсом для ppc/arm/x86

поэтому функционал прошивки я более менее знал
но где и как что находиться нужно было найти, разметить , переименовать
ну ок
4 дня я страдал с превращением бинарного мусора в код(elf заголовка нет)
как в гидре это оптимизировать так и не понял
в итоге ползал по мегабайтному коду и жмякал c(создать код) f(создать функцию)
иногда гидра глючила и f(функция) тупо не создавалась
причем никаких дальше не состыковок по коду не было
решалось тем что прыгал в какое то рандомное место на бинаре
там искал функцию создавая код
создавал ее там
а потом прыгал назад и уже создавал функцию где не хотело до этого
вообщем баг гидры какой то

сравнивая с идой, во первых в иде можно сразу создать функцию по нажатию f из набора байт

так что экономия как минимум в одном нажатию, то есть уже в два раза в иде меньше

во вторых поскольку прошивка чистые наборы байт, то ни ида ни гидра код не создает
но в иде можно тупо разметить Alt+L всю область и сказать force анализ
и она создаст асм код
а в гидре такого не нашел, на да еще плагины я не писал под это
поэтому создав 1/10 от прошивки функций в гидре, я забил на это утомительное занятие

захотелось побыстрее увидеть как будут выглядеть функции которые я уже знал как разбирает рейс в других архитектурах

для этого нужно найти эти функции
и в этом оказалась другая засада
поиск и навигация в гидре пипец, интерфейс явно из за явы чуточку латентный
1) из за того что адреса расставляются не равномерно а только напротив асм кода
скроллинг постоянно дергает курсор туда сюда
поэтому сосредоточится на чем то в навигации не получается
2) я обычно отталкиваюсь в поиске начиная со строк, но поскольку строки остались без рефов(я то код не весь разметил) найти по строкам нужные участки не возможно
3) ладно думаю, не по строкам но визуально по очередности функций(я приблизительно знал какой функционал за каким находиться)
но как мне показалось(а может и нет) гидра не показывает созданные функции линейно как в иде
гидра их начинает хз как группировать

запустил иду, за 10 сек со старта нашел нужные адреса функций
перешел на них в гидре(хорошо что в гидре goto тоже по g прибито)
начал разбирать
декомпилер в гидре капец
1) строки не резолвит, вместо них какие то хер пойми не то строка не то переменная
2) рефы декомпилер на данные тоже как то выборочно не резолвит, вместо имени рефа показывает адрес
3) всякие мелочные strlen/memcmp/strcmp не сворачивает
4) доступ к массиву [] иногда детектит, иногда нет, причем в той же самой функции на том же самом массиве(с уже примененной структурой)
5) простенькие var++ или ++var тоже не сворачивает
6) часто видны var = var + -1 + tmp
7) аргументы вызываемых функций не детектит, нужно принудительно заходит во все функции
и если аргументы определились то нужно помоему нажимать p, что бы авто применить обнаруженные аргументы

итд

идем дальше, надо создать уже структуру и применить на функцию
работа со структурой очень не удобная
много клацать надо что бы добраться, создать, назначить(т.е. много шагов для этого надо)

что то создал
как то применил
ура, получил известный для меня с иды и рейса псевдокод
реверснул один известный мне класс в том бинаре, это где то десяток функций

итого, простенькие очень простенькие функции выглядят более менее сносно
чуть что то сложное и количество мусора караул

для себя может и буду иногда ее запускать если нужно декомпильнуть пару других функций для архитектур которые не поддерживает рейс
но при этом надо держать иду открытой что бы осуществлять весь разбор бинаря и навигацию

как бесплатный инструмент гидра конечно лучшее что есть из тех же retdec или snowman декомпилей

дело не в привычке, дело в количестве шагов для каких то действий
по научному называется юзабилити

по просто народному еще брюс ли говорил - хочешь ударить, ударь, не нужно делать какие то стойки, пляски и издавать звуки
тоже самое и в интерфейсе
если я хочу что то переименовать или назначить, должен быть минимум один шаг для этого, либо максимально приближенный к минимуму шагов
в гидре этим явно не занимались, наоборот старались вытянуть как можно больше избыточной инфы которая только мешает и усложняет путь к нужному действию

зы по мелочи видел что гидра умеет деманглить
но как это включить так и не хватило терпения разобраться
обычно new/new[]/delete/delete[] я беру мангленные то бы декомпилер резолвил красиво




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 05 апреля 2019 10:25
· Личное сообщение · #26

Прошел ровно месяц, вместо замеров скорости автоанализа начались замеры памяти

-----
2 оттенка серого





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 05 апреля 2019 10:28 · Поправил: reversecode
· Личное сообщение · #27

я ее попробовал только на прошлой неделе
лень было яву качать

еще касательно goto в псевдокоде
в гидре их не меньше чем ида
поэтому не надо сравнивать какой то заумный цикл который гидра смогла переварить без goto а ида не смогла
это всего лишь случай
бывает и на оборот
а бывает и поровну



Ранг: -12.6 (нарушитель), 11thx
Активность: 0.050.03
Статус: Участник

Создано: 05 апреля 2019 13:27
· Личное сообщение · #28

reversecode,

СПА-А-А-С-И-И-БО !!!

Извиняюсь, что вынудил вас, своими вопросами, на пост-ответ.
Я же не предполагал, что он получится такой подробный и дорогой.
Моему сердцу-то уж точно. Цену-то теперь как определить? По строкам считать или по словам?
И в какой валюте? Мне теперь тут работы на неделю.
Каждый пункт нужно будет повторить в Гидре и Иде, для общего развития и приобщения к делу реверсинга.

| Сообщение посчитали полезным: reversecode


Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

Создано: 05 апреля 2019 14:49
· Личное сообщение · #29

reversecode пишет:
лучше бы ее на С/С++ переписали с интерфейсом на QT


Лучше бы на .NET её переписали, добавили бы ещё публичных нативных либ, оптимизировали бы по скорости и сказка, иде бы точно настал конец. А по скорости с С++ было бы не отличить.

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 05 апреля 2019 15:00
· Личное сообщение · #30

mak хейтер макоси и линкса ?
на дотнете уже есть одно Г https://github.com/uxmal/reko



Ранг: 64.9 (постоянный), 47thx
Активность: 0.120.02
Статус: Участник

Создано: 05 апреля 2019 15:33
· Личное сообщение · #31

mak пишет:
Лучше бы на .NET её переписали

Зачем на НЭТ? Шо, думаете одептов больше?


<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>
 eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати