Сейчас на форуме: bartolomeo, -Sanchez-, morgot, sashalogout (+5 невидимых)

 eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools
<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>
Посл.ответ Сообщение


Ранг: 253.5 (наставник), 684thx
Активность: 0.260.25
Статус: Участник
radical

Создано: 06 марта 2019 04:20 · Поправил: DimitarSerg
· Личное сообщение · #1



A software reverse engineering (SRE) suite of tools developed by NSA's Research Directorate in support of the Cybersecurity mission

It helps analyze malicious code and malware like viruses, and can give cybersecurity professionals a better understanding of potential vulnerabilities in their networks and systems.


GHIDRA 9.1.1 released !
--> Changelog <--
--> Download <--
--> GHIDRA Sources [github] <--

--> CheatSheet: <--

--> Презентация с RSA <--

--> Twitter от имени гидры: <--
--> Онлайн курсы: <--
--> Документация по API <--

--> Daenerys <-- is an interop framework that allows you to run IDAPython scripts under Ghidra and Ghidra scripts under IDA Pro with little to no modifications.
--> FindCrypt - Ghidra Edition <--
Using --> OOAnalyzer <--<-- to Reverse Engineer Object Oriented Code with Ghidra
--> GhidraX64Dbg <--:
Code:
  1. * Extract annotations from Ghidra into an X32/X64 dbg database
  2. * Extension containing a Ghidra script to export annotations from Ghidra to an x32dbg/x64dbg database.
--> An Abstract Interpretation-Based Deobfuscation <--
Cisco Talos is releasing two new tools for IDA Pro: --> Ghidraaas <-- and --> GhIDA <-- :
Code:
  1. GhIDA is an IDA Pro plugin that integrates the Ghidra decompiler in the IDA workflow, giving users the ability to rename and highlight symbols and improved navigation and comments. GhIDA assists the reverse-engineering process by decompiling x86 and x64 PE and ELF binary functions, using either a local installation of Ghidra, or Ghidraaas ( Ghidra as a Service) — a simple docker container that exposes the Ghidra decompiler through REST APIs
Automating --> Ghidra <--: writing a script to find banned functions
--> Канал гидры на youtube: <--
Список видео на канале:
Code:
  1. 1. Ghidra quickstart & tutorial: Solving a simple crackme
  2. 2. Reverse engineering with #Ghidra: Breaking an embedded firmware encryption scheme
  3. 3. Reversing WannaCry Part 1 in Ghidra
--> Software Reverse Engineering with Ghidra (Video tutors) <--
Code:
  1.     Software Reverse Engineering with Ghidra -- Setup and installation
  2.     Software Reverse Engineering with Ghidra -- How to import files and get started
  3.     Software Reverse Engineering with Ghidra -- Creating Structures
  4.     Software Reverse Engineering with Ghidra -- Creating Arrays and Changing Function Signatures
  5.     Software Reverse Engineering with Ghidra -- C++ Classes Part 1, Part 2,  Part 3
  6.     Software Reverse Engineering with Ghidra -- C++ Classes Stack and Global Classes

--> GHIDRA | Reverse Engineering a PWN Challenge <--

--> Модернизация GHIDRA. Загрузчик для ромов Sega Mega Drive <--
--> Хакер - Ghidra vs crackme. Обкатываем конкурента IDA Pro на примере решения хитрой крэкми с VM <--
--> Reverse Engineering Gootkit with Ghidra Part I <--
--> A few Ghidra tips for IDA users, part 0 - automatic comments for API call parameter <--
--> Implementing a New CPU Architectures <--
--> Toshiba MeP-c4 for Ghidra <--
Ghidra --> utilities <--for analyzing firmware

-----
ds


| Сообщение посчитали полезным: SReg, sefkrd, CyberGod, Vnv, Gideon Vi, cppasm, mak, v00doo, Rio, Orlyonok, sergio12, kp0m, memadm, Hugo Chaves, DICI BF, HandMill


Ранг: 673.3 (! !), 400thx
Активность: 0.40.31
Статус: Участник
CyberMonk

Создано: 05 апреля 2019 15:39
· Личное сообщение · #2

reversecode пишет:
хейтер макоси и линкса ?
на дотнете уже есть одно Г https://github.com/uxmal/reko


Не обязательно, макос и линкс крутые ОС, зависит конечно от опыта, но мне бы было проще переписать ява код на сшарп, чем на сишку, да и парадигмы открытости и простоты сшарп совместимы с ява подходом. На .NET можно писать и под линукс.

reversecode пишет:
на дотнете уже есть одно Г https://github.com/uxmal/reko

Любопытно, спасибо

-----
RE In Progress [!] Coding Hazard [!] Stay Clear of this Cube





Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 05 апреля 2019 15:44
· Личное сообщение · #3

mak пишет:
На .NET можно писать и под линукс.

писать конечно можно
Использовать нельзя




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 05 апреля 2019 23:26
· Личное сообщение · #4

В Ыде есть полезная мелочь - подсветка выделенного текста во всем листинге. Помогает быстро найти откуда взялось значение регистра или наоборот - где используется. В стоковой гидре эта возможность сделана неудобно, через поиск. Простенький плугин, который делает такую же подсветку в гидре --> Link <--. Распаковать в папку Ghidra\Features, включить плагин в File-Configure-Ghidra Core-CodeViewHighlightPlugin.

Исходник прилагается. Если кто не пробовал писать гидроплугины - рекомендую. Незабываемый опыт автоматического исправления ошибок в исходнике буквально кликами мышью по крестикам.

-----
2 оттенка серого


| Сообщение посчитали полезным: dma

Ранг: 158.4 (ветеран), 123thx
Активность: 0.140.49
Статус: Участник

Создано: 05 апреля 2019 23:42
· Личное сообщение · #5

f13nd пишет:
Незабываемый опыт автоматического исправления ошибок в исходнике буквально кликами мышью по крестикам.

А че, оно само по крестику нажать не может, раз понимает, что там ошибка? Подождем чего-нибудь стоящего на питоне. Чтоб рандомно стучать по клавишам, а оно само все исправляло и конпелировало




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 05 апреля 2019 23:44
· Личное сообщение · #6

rmn пишет:
А че, оно само по крестику нажать не может, раз понимает, что там ошибка?

Это я немного утрировал, после клика по крестику надо выбрать правильный вариант как исправить Такой элемент викторины в этой развивающей игре. Но обычно самый предпочтительный первая строчка.

-----
2 оттенка серого




Ранг: 64.9 (постоянный), 47thx
Активность: 0.120.02
Статус: Участник

Создано: 06 апреля 2019 02:06
· Личное сообщение · #7

есть сорцы уродливей .java...?




Ранг: 127.3 (ветеран), 44thx
Активность: 0.090
Статус: Участник

Создано: 06 апреля 2019 04:11
· Личное сообщение · #8

f13nd пишет:
В Ыде есть полезная мелочь - подсветка выделенного текста во всем листинге

В стоковой гидре это включается кликом на колесо мыши.
Options->Listing fields->Cursor text highlight тут можно поменять.

-----
zzz


| Сообщение посчитали полезным: f13nd


Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 06 апреля 2019 10:26
· Личное сообщение · #9

zeppe1in пишет:
В стоковой гидре это включается кликом на колесо мыши.

Ну да, аналог левого клика мыши в иде, подстроку выбирает само. И даже в отличие от иды не захватывает спецсимволы типа "@". Не видел такую опцию.

-----
2 оттенка серого




Ранг: -12.6 (нарушитель), 11thx
Активность: 0.050.03
Статус: Участник

Создано: 07 апреля 2019 08:34 · Поправил: dma
· Личное сообщение · #10

f13nd пишет:
Простенький плугин, который делает такую же подсветку в гидре --> Link <--. Распаковать в папку Ghidra\Features, включить плагин в File-Configure-Ghidra Core-CodeViewHighlightPlugin.


f13nd, поражаюсь вашей пассионарности. Пока основная масса народу продолжает изучать Гидру, и читать кто что пишет про ее недостатки. f13nd уже успел процессорный модуль, несколько скриптов и плагин сделать.

Скачал себе на всякий случай - вдруг когда-нибудь понадобится написать свой плагин к Гидре. Лишний образец, я думаю, не помешает.

| Сообщение посчитали полезным: hash87szf


Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 07 апреля 2019 15:20
· Личное сообщение · #11

Плугин Aggressive Instruction Finder находит почти 100% кода с очень небольшим процентом ложных срабатываний. Умиляет, как он пытается увидеть инструкцию типа "sub <stack_pointer>,<imm>" даже там где ее нет и считает это убедительным аргументом в пользу того, что здесь начинается процедура. После такого анализа не хочется все снести и разобрать руками, как в иде.

-----
2 оттенка серого




Ранг: 81.6 (постоянный), 102thx
Активность: 0.060.02
Статус: Участник

Создано: 09 апреля 2019 23:06
· Личное сообщение · #12


Ранг: 748.2 (! !), 390thx
Активность: 0.370
Статус: Участник
bytecode!

Создано: 10 апреля 2019 11:21
· Личное сообщение · #13

--> Ломаем простую «крякми» при помощи Ghidra — Часть 2 <--

-----
Флэш, ява, дотнет - на завтрак, обед и ужин. Unity3D на закуску.


| Сообщение посчитали полезным: mak, S00mbre


Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 10 апреля 2019 11:25
· Личное сообщение · #14

мне реально не понятно с чего такой хайп на гидру
когда ида это умела лет 10 назад
про нее это не писали
а в гидре типа выставляется как какое то новшество



Ранг: 8.0 (гость), 5thx
Активность: 0.010.02
Статус: Участник

Создано: 10 апреля 2019 11:37
· Личное сообщение · #15

reversecode пишет:
когда ида это умела лет 10 назад
про нее это не писали

Потому что цена на иду обламывала весь кайф, вот и не писали и хайпа не было.

К иде хайп возникает, только когда утекает дистрибутив, особенно без пароля... =)




Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 10 апреля 2019 11:56
· Личное сообщение · #16

под хайпом я понимаю постоянную генерацию каких то обзоров и примеров
не понимаю причем здесь цена на иду
т.е. на утекшиую иду все боялись создать мануал ?
и кроме крисов касперского и игла никто не сумел этого сделать пока наваха не взялся ?

Добавлено спустя 1 час 22 минуты
подход номер два к гидре
mips ELF 8 мег, даже мангл функции, есть С++ классы тоже
на удивление гидра его быстро загрузила
и даже проанализировала относительно быстро

даже демангл переварила и показала
видимо он работает только на старте
а я предыдущий раз переименовывал функции после анализа

дальше все грустно
1) операции над int64 % / не умеет определять, т.е. гцц генерит функции __divdi3 __moddi3
которые надо обрабатывать и как делает хексрейс
2) тип функций гидра не определила
все аргументы не смогла определить
поэтому без аргументов
но над каждой функцией
/* WARNING: Unknown calling convention yet parameter storage is locked */
3)
switch/case это какая то хохма
значение кейса в одном свитче прыгают от числовых, символьных до хексовых с минусом

больше терпения не хватило
слишком много избыточной информации выдает гидра




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 10 апреля 2019 16:16
· Личное сообщение · #17

По некоторым направлениям в иде за 10 лет не поменялось ничего --> Link <-- (повезло, что у этой процедуры есть еще референсы, иначе ида бы решила, что это константа)
Зарисовка на тему автоанализа (он в иде говорят очень быстр), руками не лазал, только кнопкодавный стиль и стоковые плагины --> Link <--

-----
2 оттенка серого


| Сообщение посчитали полезным: S00mbre

Ранг: 1.2 (гость), 1thx
Активность: 0.010
Статус: Участник

Создано: 11 апреля 2019 07:05 · Поправил: S00mbre
· Личное сообщение · #18

Dart Raiden пишет:
--> Ломаем простую «крякми» при помощи Ghidra — Часть 1 <--

@4kusNick пишет:
--> Ломаем простую «крякми» при помощи Ghidra — Часть 2 <--


Спасибо за ссылки на мою статью. Конечно, Гидра не дотягивает до Иды, никто сейчас и не говорит о том, что это полностью равноценные продукты. Но Ида - уже ветеран, а Гидра только недавно родилась на свет и у нее определенно есть потенциал для развития. Кроме того - это уже много раз отмечали - это полностью бесплатный инструмент, и, похоже, теперь он будет развиваться благодаря коммьюнити. Я думаю, что через пару лет все эти шероховатости и баги, плохое юзабилити и т.д. могут быть преодолены.




Ранг: 1131.7 (!!!!), 447thx
Активность: 0.670.2
Статус: Участник

Создано: 11 апреля 2019 07:58
· Личное сообщение · #19

reversecode пишет:
мне реально не понятно с чего такой хайп на гидру


почитай о причинах зарождения хайпа )
Любая адекватная движуха по гидре только в плюс комьюнити. С какой стороны не посмотри.

| Сообщение посчитали полезным: plutos


Ранг: 622.6 (!), 521thx
Активность: 0.330.89
Статус: Участник
_Вечный_Студент_

Создано: 19 апреля 2019 00:10
· Личное сообщение · #20

An Abstract Interpretation-Based Deobfuscation --> Plugin for Ghidra <--

-----
Give me a HANDLE and I will move the Earth.


| Сообщение посчитали полезным: mak


Ранг: 529.0 (!), 110thx
Активность: 0.290.04
Статус: Участник
5KRT

Создано: 24 апреля 2019 18:54
· Личное сообщение · #21

Можете залить последний билд на обменник? На сайт не пускает

Code:
  1. 403 ERROR
  2. The request could not be satisfied.
  3. Request blocked.


-----
Research For Food





Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 24 апреля 2019 18:56
· Личное сообщение · #22

daFix пишет:
Можете залить последний билд на обменник? На сайт не пускает

На гитхабе в releases загляни.

-----
2 оттенка серого


| Сообщение посчитали полезным: daFix


Ранг: 529.0 (!), 110thx
Активность: 0.290.04
Статус: Участник
5KRT

Создано: 24 апреля 2019 19:40
· Личное сообщение · #23

f13nd
Нужна скомпиленная гидра

-----
Research For Food





Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 24 апреля 2019 19:44
· Личное сообщение · #24

ghidra_9.0.2_PUBLIC_20190403.zip

-----
2 оттенка серого


| Сообщение посчитали полезным: sefkrd


Ранг: 1053.6 (!!!!), 1078thx
Активность: 1.060.81
Статус: Участник

Создано: 24 апреля 2019 19:46
· Личное сообщение · #25

что то хакеры нынче помельчали
без смекалки
а через веб архив ?
http://web.archive.org/web/20190404163028/https://ghidra-sre.org/ghidra_9.0.2_PUBLIC_20190403.zip




Ранг: 77.2 (постоянный), 73thx
Активность: 0.190.15
Статус: Участник

Создано: 24 апреля 2019 19:54
· Личное сообщение · #26

reversecode пишет:
без смекалки

Знаю, этого с горой, но вот времени - уверен, ограниченно..



Ранг: 64.9 (постоянный), 47thx
Активность: 0.120.02
Статус: Участник

Создано: 24 апреля 2019 21:31
· Личное сообщение · #27

чел на хабре сделал порт ида флёрта в гидру



Ранг: 1.2 (гость), 1thx
Активность: 0.010
Статус: Участник

Создано: 26 апреля 2019 07:49
· Личное сообщение · #28

https://www.majorgeeks.com/files/details/ghidra.html



Ранг: 6.0 (гость)
Активность: 0=0
Статус: Участник

Создано: 28 апреля 2019 18:30 · Поправил: sergeu
· Личное сообщение · #29

Поможет ли кто либо в открытие гидрой проца ....... ? По идее должен поддерживатся гидрой, но с сожалению не производит анализ( вернее не находит ничего) после открытия файла.




Ранг: 271.2 (наставник), 331thx
Активность: 0.321.49
Статус: Участник

Создано: 28 апреля 2019 18:48 · Поправил: f13nd
· Личное сообщение · #30

sergeu пишет:
По идее должен поддерживатся гидрой, но с сожалению не производит анализ( вернее не находит ничего)

Там основная стратегия поиска кода будет поиск таблиц адресов (галка create address tables), нету таблиц, отвечающих критериям - нету анализа. Выбирай aggressive instruction finder, либо ищи в мануале по векторам прерываний инфу (не панацея). Вообще лучше всего понимать что делаешь, а не кнопки давить.

ЗЫ: большинство плагинов-анализаторов в гидре в основном конструкторе заявляются на обработку определенных событий (не DOCR_*, а специальных AnalyzerType.*) и коллбеком added() их обрабатывают. Если ничего эти события не порождает, ничего и не работает. Они работают и без автоанализа (и в обычном режиме их нельзя по желанию выключить, баг), так что ткнув disassemble в обработчик прерывания ресет можно некоторую часть кода таки проанализировать почти что автоматически. В архитектурах где нет переключения таблиц векторов прерываний это иногда стратегия победы.

-----
2 оттенка серого




Ранг: 6.0 (гость)
Активность: 0=0
Статус: Участник

Создано: 28 апреля 2019 21:55
· Личное сообщение · #31

Платформа процессора e200z0 Power Architecture, может просто Гидра не поддерживает данный вид процессора?(то бишь нужен новый плагин) .
Обычно что Ида про быстро открывает и практически всегда анализирует код , и если выбран нужный процессор то сразу появляются распознанные функции и дизасеблер. Попробовал гидру на других файлах, все практически сразу определила и распознала.
Кстати как гидра работает с Variable length encoding (VLE), allowing mixed 16-bit and 32-bit instructions- то бишь инструкциями переменной длины, что то такой опции я не увидел. Да и есть опыт работы с хитрыми процессорами фрескале с переключаемыми банками кода и епрома? Вобще возможно ли реализавать это для плагина гидры?


<< . 1 . 2 . 3 . 4 . 5 . 6 . 7 . >>
 eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати