АНС публикува кода на Ghidra: мощен инструмент за реверсивно инженерство
Агенцията за национална сигурност на Съединени американски щати по време на конференцията RSA разгласи, че отваря кода на Ghidra – инструментариума за осъществяване на реверсивно инженерство на софтуера. Ghidra включва дизасемблер, поддържащ и декомпилиране до програмния език C и представящ мощни средства за разбора на изпълнимите файлове. Кодът е написан на езика за програмиране Java и напълно скоро ще стартира неговото предложение под Apache 2.0 лиценза. Качването на кода в GitHub към този момент стартира. Продуктът ще може да бъде изтеглен и от уеб страницата ghidra-sre.org. Интересно е, че този уеб уебсайт е недосегаем за съветските консуматори.
Проектът се развива от към този момент 20 години и интензивно се употребява от специфичните служби на Съединени американски щати за откриване на вградени задни порти в софтуера, за проучване на изпълнимите файлове и за разбор на получения от дизасемблера код. Възможностите на продукта надвишават разширената версия на известния пакет IDA Pro, само че е фокусиран най-вече върху разбора на кода и не включва дебъгер. От друга страна, Ghidra разполага с декомпилатор към псевдо код, наподобяващ на С. В IDA Pro тази опция се обезпечава посредством външни приставки. Ghidra разполага с прекомерно мощни средства за взаимен разбор на изпълнимите файлове.
Основни особености на Ghidra:
Поддръжка на инструкциите на разнообразни процесори и разнообразни формати на изпълнимите файловеАнализ на изпълнимите файлове за Linux, Windows и macOSПакетът включва дизасемблер, асемблер, декомпилатор, генератор на граф за осъществяването на циклите, условните и безусловните преходи в стратегиите, модул за основаване на скриптове и огромен комплект помощни софтуерни инструментиВъзможност за работа в интерактивен и автоматизиран режимПоддържат се приставки, с които се осъществят нови компонентиПоддържа се автоматизация на дейностите и уголемение на функционалността посредством скриптове на програмните езици Java и PythonВградени средства за взаимна работа на групи експерти и съгласуваност на работата при противоположното инженерство на доста огромни планове
Любопитно е, че няколко часа след началото на публикуването на Ghidra, в пакета бе открита накърнимост в режима за конфигурация, който по дифолт е изключен. В този режим се отваря мрежовия порт 18001 за отдалечена работа посредством протокола JDWP (Java Debug Wire Protocol). По подразбиране всички мрежови връзки са се осъществявали посредством всички налични мрежови интерфейси, а не посредством 127.0.0.1. Това е давало опция към Ghidra да се реализира връзка от други системи и да се извърши случаен код в подтекста на приложението. Така да вземем за пример, става допустима връзката с дизасемблера – да се прекъсне осъществяването посредством изкуствено сложена точка на спиране, където да бъде подложен личен код благодарение на командата „print new“. Например „print new java.lang.Runtime().exec(‘/bin/mkdir /tmp/dir’)“.
Допълнително можем да отбележим публикуването на съвсем напълно промененият отворен интерактивен дизасемблер REDasm 2.0 . Програмата е присъща със своята разширяема архитектура, даваща опция за включването на спомагателни модули със лични указания и аналитични принадлежности, пакетирани като модули. Кодът на плана е написан на програмния език С++ (интерфейсът употребява Qt) и се популяризира посредством GPLv3 лиценза. Поддържат се операционните системи Windows и Linux.
В базовата версия на Ghidra се поддържат PE, ELF, DEX (Android Dalvik) файловете, както и форматите на фърмуерите на Sony Playstation, XBox, GameBoy и Nintendo64. От процесорните указания се поддържат x86, x86_64, MIPS, ARMv7, Dalvik и CHIP-8. Поддържа се интерактивен режим, доста сходен на този от IDA. Възможен е анализът на многопоточни приложения, вграден е енджин за работа с цифровите подписи (работи с SDB файловете).
Проектът се развива от към този момент 20 години и интензивно се употребява от специфичните служби на Съединени американски щати за откриване на вградени задни порти в софтуера, за проучване на изпълнимите файлове и за разбор на получения от дизасемблера код. Възможностите на продукта надвишават разширената версия на известния пакет IDA Pro, само че е фокусиран най-вече върху разбора на кода и не включва дебъгер. От друга страна, Ghidra разполага с декомпилатор към псевдо код, наподобяващ на С. В IDA Pro тази опция се обезпечава посредством външни приставки. Ghidra разполага с прекомерно мощни средства за взаимен разбор на изпълнимите файлове.
Основни особености на Ghidra:
Поддръжка на инструкциите на разнообразни процесори и разнообразни формати на изпълнимите файловеАнализ на изпълнимите файлове за Linux, Windows и macOSПакетът включва дизасемблер, асемблер, декомпилатор, генератор на граф за осъществяването на циклите, условните и безусловните преходи в стратегиите, модул за основаване на скриптове и огромен комплект помощни софтуерни инструментиВъзможност за работа в интерактивен и автоматизиран режимПоддържат се приставки, с които се осъществят нови компонентиПоддържа се автоматизация на дейностите и уголемение на функционалността посредством скриптове на програмните езици Java и PythonВградени средства за взаимна работа на групи експерти и съгласуваност на работата при противоположното инженерство на доста огромни планове
Любопитно е, че няколко часа след началото на публикуването на Ghidra, в пакета бе открита накърнимост в режима за конфигурация, който по дифолт е изключен. В този режим се отваря мрежовия порт 18001 за отдалечена работа посредством протокола JDWP (Java Debug Wire Protocol). По подразбиране всички мрежови връзки са се осъществявали посредством всички налични мрежови интерфейси, а не посредством 127.0.0.1. Това е давало опция към Ghidra да се реализира връзка от други системи и да се извърши случаен код в подтекста на приложението. Така да вземем за пример, става допустима връзката с дизасемблера – да се прекъсне осъществяването посредством изкуствено сложена точка на спиране, където да бъде подложен личен код благодарение на командата „print new“. Например „print new java.lang.Runtime().exec(‘/bin/mkdir /tmp/dir’)“.
Допълнително можем да отбележим публикуването на съвсем напълно промененият отворен интерактивен дизасемблер REDasm 2.0 . Програмата е присъща със своята разширяема архитектура, даваща опция за включването на спомагателни модули със лични указания и аналитични принадлежности, пакетирани като модули. Кодът на плана е написан на програмния език С++ (интерфейсът употребява Qt) и се популяризира посредством GPLv3 лиценза. Поддържат се операционните системи Windows и Linux.
В базовата версия на Ghidra се поддържат PE, ELF, DEX (Android Dalvik) файловете, както и форматите на фърмуерите на Sony Playstation, XBox, GameBoy и Nintendo64. От процесорните указания се поддържат x86, x86_64, MIPS, ARMv7, Dalvik и CHIP-8. Поддържа се интерактивен режим, доста сходен на този от IDA. Възможен е анализът на многопоточни приложения, вграден е енджин за работа с цифровите подписи (работи с SDB файловете).
Източник: kaldata.com
КОМЕНТАРИ