| Сейчас на форуме: bartolomeo, -Sanchez-, morgot, sashalogout (+5 невидимых) |
 |
eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools |
| << . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >> |
| Посл.ответ | Сообщение |
|
|
Создано: 06 марта 2019 04:20 · Поправил: DimitarSerg · Личное сообщение · #1  A software reverse engineering (SRE) suite of tools developed by NSA's Research Directorate in support of the Cybersecurity mission It helps analyze malicious code and malware like viruses, and can give cybersecurity professionals a better understanding of potential vulnerabilities in their networks and systems. GHIDRA 9.1.1 released ! is an interop framework that allows you to run IDAPython scripts under Ghidra and Ghidra scripts under IDA Pro with little to no modifications. Using <-- to Reverse Engineer Object Oriented Code with Ghidra : Code:
Cisco Talos is releasing two new tools for IDA Pro: and : Code:
Список видео на канале: Code:
Code:
Ghidra for analyzing firmware ----- ds  | Сообщение посчитали полезным: SReg, sefkrd, CyberGod, Vnv, Gideon Vi, cppasm, mak, v00doo, Rio, Orlyonok, sergio12, kp0m, memadm, Hugo Chaves, DICI BF, HandMill |
|
|
Создано: 05 апреля 2019 15:39 · Личное сообщение · #2 reversecode пишет: хейтер макоси и линкса ? на дотнете уже есть одно Г https://github.com/uxmal/reko Не обязательно, макос и линкс крутые ОС, зависит конечно от опыта, но мне бы было проще переписать ява код на сшарп, чем на сишку, да и парадигмы открытости и простоты сшарп совместимы с ява подходом. На .NET можно писать и под линукс. reversecode пишет: на дотнете уже есть одно Г https://github.com/uxmal/reko Любопытно, спасибо 
----- RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube |
|
|
Создано: 05 апреля 2019 15:44 · Личное сообщение · #3 mak пишет: На .NET можно писать и под линукс. писать конечно можно Использовать нельзя |
|
|
Создано: 05 апреля 2019 23:26 · Личное сообщение · #4 В Ыде есть полезная мелочь - подсветка выделенного текста во всем листинге. Помогает быстро найти откуда взялось значение регистра или наоборот - где используется. В стоковой гидре эта возможность сделана неудобно, через поиск. Простенький плугин, который делает такую же подсветку в гидре . Распаковать в папку Ghidra\Features, включить плагин в File-Configure-Ghidra Core-CodeViewHighlightPlugin.  Исходник прилагается. Если кто не пробовал писать гидроплугины - рекомендую. Незабываемый опыт автоматического исправления ошибок в исходнике буквально кликами мышью по крестикам. ----- 2 оттенка серого | Сообщение посчитали полезным: dma |
|
|
Создано: 05 апреля 2019 23:42 · Личное сообщение · #5 f13nd пишет: Незабываемый опыт автоматического исправления ошибок в исходнике буквально кликами мышью по крестикам. А че, оно само по крестику нажать не может, раз понимает, что там ошибка? Подождем чего-нибудь стоящего на питоне. Чтоб рандомно стучать по клавишам, а оно само все исправляло и конпелировало
|
|
|
Создано: 05 апреля 2019 23:44 · Личное сообщение · #6 rmn пишет: А че, оно само по крестику нажать не может, раз понимает, что там ошибка? Это я немного утрировал, после клика по крестику надо выбрать правильный вариант как исправить  Такой элемент викторины в этой развивающей игре. Но обычно самый предпочтительный первая строчка.
----- 2 оттенка серого |
|
|
Создано: 06 апреля 2019 02:06 · Личное сообщение · #7  есть сорцы уродливей .java...?
|
|
|
Создано: 06 апреля 2019 04:11 · Личное сообщение · #8 f13nd пишет: В Ыде есть полезная мелочь - подсветка выделенного текста во всем листинге В стоковой гидре это включается кликом на колесо мыши. Options->Listing fields->Cursor text highlight тут можно поменять. ----- zzz | Сообщение посчитали полезным: f13nd |
|
|
Создано: 06 апреля 2019 10:26 · Личное сообщение · #9 zeppe1in пишет: В стоковой гидре это включается кликом на колесо мыши. Ну да, аналог левого клика мыши в иде, подстроку выбирает само. И даже в отличие от иды не захватывает спецсимволы типа "@". Не видел такую опцию. ----- 2 оттенка серого |
|
|
Создано: 07 апреля 2019 08:34 · Поправил: dma · Личное сообщение · #10 f13nd пишет: Простенький плугин, который делает такую же подсветку в гидре --> Link <--. Распаковать в папку Ghidra\Features, включить плагин в File-Configure-Ghidra Core-CodeViewHighlightPlugin. f13nd, поражаюсь вашей пассионарности. Пока основная масса народу продолжает изучать Гидру, и читать кто что пишет про ее недостатки. f13nd уже успел процессорный модуль, несколько скриптов и плагин сделать. Скачал себе на всякий случай - вдруг когда-нибудь понадобится написать свой плагин к Гидре. Лишний образец, я думаю, не помешает. | Сообщение посчитали полезным: hash87szf |
|
|
Создано: 07 апреля 2019 15:20 · Личное сообщение · #11 Плугин Aggressive Instruction Finder находит почти 100% кода с очень небольшим процентом ложных срабатываний. Умиляет, как он пытается увидеть инструкцию типа "sub <stack_pointer>,<imm>" даже там где ее нет и считает это убедительным аргументом в пользу того, что здесь начинается процедура. После такого анализа не хочется все снести и разобрать руками, как в иде. ----- 2 оттенка серого |
|
|
Создано: 09 апреля 2019 23:06 · Личное сообщение · #12 |
|
|
Создано: 10 апреля 2019 11:21 · Личное сообщение · #13 |
|
|
Создано: 10 апреля 2019 11:25 · Личное сообщение · #14 мне реально не понятно с чего такой хайп на гидру когда ида это умела лет 10 назад про нее это не писали а в гидре типа выставляется как какое то новшество |
|
|
Создано: 10 апреля 2019 11:37 · Личное сообщение · #15 reversecode пишет: когда ида это умела лет 10 назад про нее это не писали Потому что цена на иду обламывала весь кайф, вот и не писали и хайпа не было. К иде хайп возникает, только когда утекает дистрибутив, особенно без пароля... =) |
|
|
Создано: 10 апреля 2019 11:56 · Личное сообщение · #16 под хайпом я понимаю постоянную генерацию каких то обзоров и примеров не понимаю причем здесь цена на иду т.е. на утекшиую иду все боялись создать мануал ? и кроме крисов касперского и игла никто не сумел этого сделать пока наваха не взялся ? Добавлено спустя 1 час 22 минуты подход номер два к гидре mips ELF 8 мег, даже мангл функции, есть С++ классы тоже на удивление гидра его быстро загрузила и даже проанализировала относительно быстро даже демангл переварила и показала видимо он работает только на старте а я предыдущий раз переименовывал функции после анализа дальше все грустно 1) операции над int64 % / не умеет определять, т.е. гцц генерит функции __divdi3 __moddi3 которые надо обрабатывать и как делает хексрейс 2) тип функций гидра не определила все аргументы не смогла определить поэтому без аргументов но над каждой функцией /* WARNING: Unknown calling convention yet parameter storage is locked */ 3) switch/case это какая то хохма значение кейса в одном свитче прыгают от числовых, символьных до хексовых с минусом  больше терпения не хватило слишком много избыточной информации выдает гидра |
|
|
Создано: 10 апреля 2019 16:16 · Личное сообщение · #17 По некоторым направлениям в иде за 10 лет не поменялось ничего (повезло, что у этой процедуры есть еще референсы, иначе ида бы решила, что это константа) Зарисовка на тему автоанализа (он в иде говорят очень быстр), руками не лазал, только кнопкодавный стиль и стоковые плагины ----- 2 оттенка серого | Сообщение посчитали полезным: S00mbre |
|
|
Создано: 11 апреля 2019 07:05 · Поправил: S00mbre · Личное сообщение · #18 : --> Ломаем простую «крякми» при помощи Ghidra — Часть 1 <-- @: --> Ломаем простую «крякми» при помощи Ghidra — Часть 2 <-- Спасибо за ссылки на мою статью. Конечно, Гидра не дотягивает до Иды, никто сейчас и не говорит о том, что это полностью равноценные продукты. Но Ида - уже ветеран, а Гидра только недавно родилась на свет и у нее определенно есть потенциал для развития. Кроме того - это уже много раз отмечали - это полностью бесплатный инструмент, и, похоже, теперь он будет развиваться благодаря коммьюнити. Я думаю, что через пару лет все эти шероховатости и баги, плохое юзабилити и т.д. могут быть преодолены.
|
|
|
Создано: 11 апреля 2019 07:58 · Личное сообщение · #19 reversecode пишет: мне реально не понятно с чего такой хайп на гидру почитай о причинах зарождения хайпа ) Любая адекватная движуха по гидре только в плюс комьюнити. С какой стороны не посмотри. | Сообщение посчитали полезным: plutos |
|
|
Создано: 19 апреля 2019 00:10 · Личное сообщение · #20 An Abstract Interpretation-Based Deobfuscation ----- Give me a HANDLE and I will move the Earth. | Сообщение посчитали полезным: mak |
|
|
Создано: 24 апреля 2019 18:54 · Личное сообщение · #21 Можете залить последний билд на обменник? На сайт не пускает Code:
----- Research For Food |
|
|
Создано: 24 апреля 2019 18:56 · Личное сообщение · #22 daFix пишет: Можете залить последний билд на обменник? На сайт не пускает На гитхабе в releases загляни. ----- 2 оттенка серого | Сообщение посчитали полезным: daFix |
|
|
Создано: 24 апреля 2019 19:40 · Личное сообщение · #23 f13nd Нужна скомпиленная гидра ----- Research For Food |
|
|
Создано: 24 апреля 2019 19:44 · Личное сообщение · #24 |
|
|
Создано: 24 апреля 2019 19:46 · Личное сообщение · #25 что то хакеры нынче помельчали без смекалки а через веб архив ? http://web.archive.org/web/20190404163028/https://ghidra-sre.org/ghidra_9.0.2_PUBLIC_20190403.zip |
|
|
Создано: 24 апреля 2019 19:54 · Личное сообщение · #26 reversecode пишет: без смекалки Знаю, этого с горой, но вот времени - уверен, ограниченно.. |
|
|
Создано: 24 апреля 2019 21:31 · Личное сообщение · #27 чел на хабре сделал порт ида флёрта в гидру |
|
|
Создано: 26 апреля 2019 07:49 · Личное сообщение · #28 https://www.majorgeeks.com/files/details/ghidra.html |
|
|
Создано: 28 апреля 2019 18:30 · Поправил: sergeu · Личное сообщение · #29 Поможет ли кто либо в открытие гидрой проца ....... ? По идее должен поддерживатся гидрой, но с сожалению не производит анализ( вернее не находит ничего) после открытия файла. |
|
|
Создано: 28 апреля 2019 18:48 · Поправил: f13nd · Личное сообщение · #30 sergeu пишет: По идее должен поддерживатся гидрой, но с сожалению не производит анализ( вернее не находит ничего) Там основная стратегия поиска кода будет поиск таблиц адресов (галка create address tables), нету таблиц, отвечающих критериям - нету анализа. Выбирай aggressive instruction finder, либо ищи в мануале по векторам прерываний инфу (не панацея). Вообще лучше всего понимать что делаешь, а не кнопки давить. ЗЫ: большинство плагинов-анализаторов в гидре в основном конструкторе заявляются на обработку определенных событий (не DOCR_*, а специальных AnalyzerType.*) и коллбеком added() их обрабатывают. Если ничего эти события не порождает, ничего и не работает. Они работают и без автоанализа (и в обычном режиме их нельзя по желанию выключить, баг), так что ткнув disassemble в обработчик прерывания ресет можно некоторую часть кода таки проанализировать почти что автоматически. В архитектурах где нет переключения таблиц векторов прерываний это иногда стратегия победы. ----- 2 оттенка серого |
|
|
Создано: 28 апреля 2019 21:55 · Личное сообщение · #31 Платформа процессора e200z0 Power Architecture, может просто Гидра не поддерживает данный вид процессора?(то бишь нужен новый плагин) . Обычно что Ида про быстро открывает и практически всегда анализирует код , и если выбран нужный процессор то сразу появляются распознанные функции и дизасеблер. Попробовал гидру на других файлах, все практически сразу определила и распознала. Кстати как гидра работает с Variable length encoding (VLE), allowing mixed 16-bit and 32-bit instructions- то бишь инструкциями переменной длины, что то такой опции я не увидел. Да и есть опыт работы с хитрыми процессорами фрескале с переключаемыми банками кода и епрома? Вобще возможно ли реализавать это для плагина гидры? |
| << . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >> |
|
eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools |
Для печати