A software reverse engineering (SRE) suite of tools developed by NSA's Research Directorate in support of the Cybersecurity mission

It helps analyze malicious code and malware like viruses, and can give cybersecurity professionals a better understanding of potential vulnerabilities in their networks and systems.


GHIDRA 9.1.1 released !
--> Changelog <--
--> Download <--
--> GHIDRA Sources [github] <--

--> CheatSheet: <--

--> Презентация с RSA <--

--> Twitter от имени гидры: <--
--> Онлайн курсы: <--
--> Документация по API <--

--> Daenerys <-- is an interop framework that allows you to run IDAPython scripts under Ghidra and Ghidra scripts under IDA Pro with little to no modifications.
--> FindCrypt - Ghidra Edition <--
Using --> OOAnalyzer <--<-- to Reverse Engineer Object Oriented Code with Ghidra
--> GhidraX64Dbg <--:
--> An Abstract Interpretation-Based Deobfuscation <--
Cisco Talos is releasing two new tools for IDA Pro: --> Ghidraaas <-- and --> GhIDA <-- :
Automating --> Ghidra <--: writing a script to find banned functions
--> Канал гидры на youtube: <--
Список видео на канале:
--> Software Reverse Engineering with Ghidra (Video tutors) <--

--> GHIDRA | Reverse Engineering a PWN Challenge <--

--> Модернизация GHIDRA. Загрузчик для ромов Sega Mega Drive <--
--> Хакер - Ghidra vs crackme. Обкатываем конкурента IDA Pro на примере решения хитрой крэкми с VM <--
--> Reverse Engineering Gootkit with Ghidra Part I <--
--> A few Ghidra tips for IDA users, part 0 - automatic comments for API call parameter <--
--> Implementing a New CPU Architectures <--
--> Toshiba MeP-c4 for Ghidra <--
Ghidra --> utilities <--for analyzing firmware

-----
ds

| Сообщение посчитали полезным: SReg, sefkrd, CyberGod, Vnv, Gideon Vi, cppasm, mak, v00doo, Rio, Orlyonok, sergio12, kp0m, memadm, Hugo Chaves, DICI BF, HandMill

Образ Docker для сборки сабжа из сорцов

| Сообщение посчитали полезным: mak

--> Ghidra Data Type <--

What is this?

.gdt files are data type archives.
They contain data type to symbol correlation data.
When applied to e.g. imported functions, the functions will be assigned the correct signatures via these files.

How to use?


-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Восемь видео уроков по Гидре, в будущем будут добавляться новые (вероятно).

--> Software Reverse Engineering with Ghidra<--



-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: DimitarSerg, mak, bartolomeo

--> GhidraX64Dbg <--

Extract annotations from Ghidra into an X32/X64 dbg database
Extension containing a Ghidra script to export annotations from Ghidra to an X32/X64 database.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: mak

AUTOMATING --> GHIDRA <--: WRITING A SCRIPT TO FIND BANNED FUNCTIONS

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Cisco Talos is releasing two new tools for IDA Pro: --> Ghidraaas <-- and --> GhIDA <--.

GhIDA is an IDA Pro plugin that integrates the Ghidra decompiler in the IDA workflow, giving users the ability to rename and highlight symbols and improved navigation and comments. GhIDA assists the reverse-engineering process by decompiling x86 and x64 PE and ELF binary functions, using either a local installation of Ghidra, or Ghidraaas ( Ghidra as a Service) — a simple docker container that exposes the Ghidra decompiler through REST APIs.

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

--> r2ghidra-dec <--
Deep ghidra decompiler integration for radare2



-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

SVD-Loader for Ghidra: Simplifying bare-metal ARM reverse engineering

When reverse-engineering bare-metal ARM firmwares often a lot of time is spent annotating the memory-mapped peripherals, to understand how the code interacts with the chip features. Creating these peripherals by hand is significant work: Reading the datasheets and creating all the different memory regions, structures and memory registers will take a long time.

SVD-Loader for Ghidra automates the entire generation of peripheral structs and memory maps for over 650 different microcontrollers: By parsing so-called SVD files (CMSIS System View Description) SVD-Loader is able to automatically annotate all peripherals of the controller, simplifying reverse-engineering of ARM firmwares significantly.

on --> GITHUB <--

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Ghidra v9.1 без предупреждения на гх вышла. Ах если бы у иды в каждой минор версии по 6 архитектур добавляли

--> Link <--

-----
2 оттенка серого

| Сообщение посчитали полезным: plutos, sergeu

--> БЕТА 9.1 гидры <--

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным: plutos

DimitarSerg пишет:
--> Хакер - Ghidra vs crackme. Обкатываем конкурента IDA Pro на примере решения хитрой крэкми с VM <--

По этой ссылке расположена статья, в которой рассматривается crackme и дается на него ссылка:
"Скачать крэкми можно с сайта MalwareTech, пароль к архиву — тоже MalwareTech."

Так ссылка на сайт MalwareTech может временно, может навсегда померла. Кто-нибудь успел качнуть и поделится?

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

plutos пишет:
Кто-нибудь успел качнуть и поделится?

По ссылке в статье vm1.zip
На том ресурсе есть одноименный https://www.malwaretech.com/vm1 с другой ссылкой на архив на гитхабе
https://github.com/MalwareTech/Beginner-Reversing-Challenges/raw/master/vm1.zip

Возможно это одно и тоже.

-----
127.0.0.1, sweet 127.0.0.1

| Сообщение посчитали полезным: plutos

подскажите, названия локальных переменных гидра уже научилась подтягивать из pdb?

| Сообщение посчитали полезным:

soft пишет:
подскажите, названия локальных переменных гидра уже научилась подтягивать из pdb?
\ghidra_9.1\docs\README_PDB.html

?

-----
2 оттенка серого

| Сообщение посчитали полезным:

Обновил шапку тему, добавил ссылок из темы.

-----
ds

| Сообщение посчитали полезным:

Небольшой лайфхачик для тех, кто уже успел порадоваться тому, как на новой гидре плугины, скомпиленные под 9.0.х, перестали работать. Обратите внимание на класс GhidraScript: он компилится единожды (после любого изменения в тексте) только средствами jdk (без сервера гидры как в GhidraDev и без gradle'а), может нарегать всего того же, что регал бы GhidraPlugin (DockingAction, ComponentProvider, даже KeyEventDispatcher - что угодно) и это не будет уничтожено по завершению скрипта. Единственный минус - приходится при каждом запуске гидры кликать его на панели. Остальное сплошные плюсы.

-----
2 оттенка серого

| Сообщение посчитали полезным: plutos

--> Ghidra Patch Diff Correlator Project <--

This project tries to provide additional Ghidra Version Tracking Correlators suitable for patch diffing.
How to install it:

In Ghidra: File -> Install Extensions and select the ghidra_9.1-BETA_DEV_20191010_PatchDiffCorrelator.zip.

Then restart Ghidra.

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным: Hugo Chaves, Lambda

Установил я Patch Diff Correlator.

Посмотрел видео: https://www.youtube.com/watch?v=8BH7ttwz5tg

И заметил, что у меня доступны не все алгоритмы. http://5cm.ru/view/i7/kb2x.png

На видео их больше. В справке нашел такую информацию:

The correlation algorithm panel lets you choose which program correlator to use. The list is dynamically populated based upon which features you have installed, so the actual list may look different than that above.

Кто-то в курсе где устанавливаются остальные алгоритмы?

| Сообщение посчитали полезным:

Lambda, эти 3 недостающих пункта и есть то, что плагин добавляет. Перенеси папку PatchDiffCorrelator из \Ghidra\Extensions\ в \Ghidra\Features\ (не спрашивай зачем, джаст факин ду ит).

-----
2 оттенка серого

| Сообщение посчитали полезным: Lambda, plutos

--> SVD-Loader for Ghidra <--: Simplifying bare-metal ARM reverse engineering

Introduction

When reverse-engineering bare-metal ARM firmwares often a lot of time is spent annotating the memory-mapped peripherals, to understand how the code interacts with the chip features. Creating these peripherals by hand is significant work: Reading the datasheets and creating all the different memory regions, structures and memory registers will take a long time.

SVD-Loader for Ghidra automates the entire generation of peripheral structs and memory maps for over 650 different microcontrollers: By parsing so-called SVD files (CMSIS System View Description) SVD-Loader is able to automatically annotate all peripherals of the controller, simplifying reverse-engineering of ARM firmwares significantly.

****************************************************************

Export a binary from ghidra to emulate with unicorn

--> Ghidra <=> Unicorn <--
This is a work in progress, possibly worse than Ghidra's built in emulator and certainly full of issues.

In the future, I'd like to get Unicorn and Capstone installed within Ghidra's jython environment, but for now this script will export a pickle file from Ghidra and then a separate python3 script will import the data and run unicorn

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

Ghidra C++ Class and Run Time Type Information --> Analyzer<--

-----
Give me a HANDLE and I will move the Earth.

| Сообщение посчитали полезным:

новая гидра Version 9.1 --> вышла <--
для RU-парней --> тут <--

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным: Qbik

Если кому-то не хватает боковых кнопок мыши для навигации (назначить в Tool options -> Key bindings их нельзя). Display script manager -> Script directories -> (добавить папку со скриптом) -> (найти скрипт в разделе Utility и поставить галку напротив него, можно забиндить клавишу для запуска). Не конфликтует с другими Tool'ами, корректно выгружается при закрытии тула. При желании можно переоформить в плугин, если лень нажимать при каждом запуске кодбраузера.



-----
2 оттенка серого

| Сообщение посчитали полезным: sefkrd, mak

Попытка сравнения --> GHIDRA vs. IDA Pro <--

Но так ли Гидра хороша? Так ли плоха IDA (или наоборот)? Давайте разбираться ©

- Поддерживаемые архитектуры
- Поддерживаемые форматы
- Качество декомпиляции
- Расширяемость функционала, SDK/API
- Документация
- Отладчик (для исследуемых файлов)
- Скорость анализа файлов
- Удобство работы (интерфейс, горячие клавиши, ориентированность на ввод с клавиатуры)
- Выход новых версий
- Сложность получения дистрибутива
- Поддержка
- Комьюнити
- Совместная работа над проектом

Тем кто еще не знаком с сабжем, может быть интересно сделать свои выводы, остальные итак все уже знают.

| Сообщение посчитали полезным:

9.1.1
https://ghidra-sre.org/releaseNotes_9.1.1.html



-----
ds

| Сообщение посчитали полезным:

BfoX
о том что сайт гидры заблокирован только в РФ знают только пользователи РФ

| Сообщение посчитали полезным:

BfoX, ghidra_9.1.1_PUBLIC_20191218.zip

| Сообщение посчитали полезным:

reversecode
если вы не exUSSR, то я рад за вас...

Добавлено спустя 1 минуту
Adler
спасибо, уже качаю. с оригинала...

для RU-парней линк на зло реверскоду...

-----
...или ты работаешь хорошо, или ты работаешь много...

| Сообщение посчитали полезным:

Маленький нюанс. Сайт гидры заблокирован не в РФ, а для РФ. Хз как некоторые вообще без этой кнопочки в браузере, отменяющей блокировки, интернетом пользуются.

-----
2 оттенка серого

| Сообщение посчитали полезным:

BfoX пишет:
на зло реверскоду...
рука лицо а я то здесь причем ? я лично участвовал в блокировке ?

заблокирован в рф. заблокирован для рф
игра слов.

| Сообщение посчитали полезным: