eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС
выпущен 4 ноября!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools
. 1 . 2 . 3 . 4 . 5 . 6 . >>
Посл.ответ Сообщение


Ранг: 228.7 (наставник)
Статус: Участник
radical

Создано: 6 марта 2019 04:20 · Поправил: DimitarSerg New!
Цитата · Личное сообщение · #1



A software reverse engineering (SRE) suite of tools developed by NSA's Research Directorate in support of the Cybersecurity mission

It helps analyze malicious code and malware like viruses, and can give cybersecurity professionals a better understanding of potential vulnerabilities in their networks and systems.


GHIDRA 9.1 Beta released !
--> Changelog <--
--> Download <--
--> GHIDRA Sources [github] <--

--> CheatSheet: <--

--> Презентация с RSA <--

--> Twitter от имени гидры: <--
--> Онлайн курсы: <--
--> Документация по API <--

--> Daenerys <-- is an interop framework that allows you to run IDAPython scripts under Ghidra and Ghidra scripts under IDA Pro with little to no modifications.
--> FindCrypt - Ghidra Edition <--
Using --> OOAnalyzer <--<-- to Reverse Engineer Object Oriented Code with Ghidra
--> GhidraX64Dbg <--:
Code:
  1. * Extract annotations from Ghidra into an X32/X64 dbg database
  2. * Extension containing a Ghidra script to export annotations from Ghidra to an x32dbg/x64dbg database.
--> An Abstract Interpretation-Based Deobfuscation <--
Cisco Talos is releasing two new tools for IDA Pro: --> Ghidraaas <-- and --> GhIDA <-- :
Code:
  1. GhIDA is an IDA Pro plugin that integrates the Ghidra decompiler in the IDA workflow, giving users the ability to rename and highlight symbols and improved navigation and comments. GhIDA assists the reverse-engineering process by decompiling x86 and x64 PE and ELF binary functions, using either a local installation of Ghidra, or Ghidraaas ( Ghidra as a Service) — a simple docker container that exposes the Ghidra decompiler through REST APIs
Automating --> Ghidra <--: writing a script to find banned functions
--> Канал гидры на youtube: <--
Список видео на канале:
Code:
  1. 1. Ghidra quickstart & tutorial: Solving a simple crackme
  2. 2. Reverse engineering with #Ghidra: Breaking an embedded firmware encryption scheme
  3. 3. Reversing WannaCry Part 1 in Ghidra
--> Software Reverse Engineering with Ghidra (Video tutors) <--
Code:
  1.     Software Reverse Engineering with Ghidra -- Setup and installation
  2.     Software Reverse Engineering with Ghidra -- How to import files and get started
  3.     Software Reverse Engineering with Ghidra -- Creating Structures
  4.     Software Reverse Engineering with Ghidra -- Creating Arrays and Changing Function Signatures
  5.     Software Reverse Engineering with Ghidra -- C++ Classes Part 1, Part 2,  Part 3
  6.     Software Reverse Engineering with Ghidra -- C++ Classes Stack and Global Classes

--> GHIDRA | Reverse Engineering a PWN Challenge <--

--> Модернизация GHIDRA. Загрузчик для ромов Sega Mega Drive <--
--> Хакер - Ghidra vs crackme. Обкатываем конкурента IDA Pro на примере решения хитрой крэкми с VM <--
--> Reverse Engineering Gootkit with Ghidra Part I <--
--> A few Ghidra tips for IDA users, part 0 - automatic comments for API call parameter <--
--> Implementing a New CPU Architectures <--
--> Toshiba MeP-c4 for Ghidra <--
Ghidra --> utilities <--for analyzing firmware

| Сообщение посчитали полезным: SReg, sefkrd, CyberGod, Vnv, Gideon Vi, cppasm, mak, v00doo, Rio, Orlyonok, sergio12, kp0m, memadm, Hugo Chaves



Ранг: 535.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 6 марта 2019 04:27 · Поправил: plutos New!
Цитата · Личное сообщение · #2

гидра изрыгает нули и единицы, это бинарный код, при переводе в ASCII дает
"Hello World!"


Ранг: 226.3 (наставник)
Статус: Участник

Создано: 6 марта 2019 04:29 · Поправил: f13nd New!
Цитата · Личное сообщение · #3

Сама символика - переделанный уроборос.

На самом деле штука интересная, очень располагающая к копанию-допиливанию. Только гляньте как там процессорные плугины устроены. Сказка.

Ранг: 42.5 (посетитель)
Статус: Участник

Создано: 6 марта 2019 06:21 New!
Цитата · Личное сообщение · #4

Ильфак нервно передернул

Ранг: 32.8 (посетитель)
Статус: Участник

Создано: 6 марта 2019 08:21 New!
Цитата · Личное сообщение · #5

Выложите на обменник пожалуйста, а то на оффсайте CloudFront делает 403: The request could not be satisfied.


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 6 марта 2019 08:37 New!
Цитата · Личное сообщение · #6

https://github.com/NationalSecurityAgency/ghidra


Ранг: 51.4 (постоянный)
Статус: Участник

Создано: 6 марта 2019 09:11 New!
Цитата · Личное сообщение · #7

awlost пишет:
Выложите на обменник пожалуйста, а то на оффсайте CloudFront делает 403: The request could not be satisfied.

Через тор качается.

| Сообщение посчитали полезным: Gideon Vi, ksol



Ранг: 520.1 (!)
Статус: Участник
Победитель турнира 2010

Создано: 6 марта 2019 09:28 · Поправил: OKOB New!
Цитата · Личное сообщение · #8

Народ уже начал тыкать

GHIDRA | Reverse Engineering a PWN Challenge
https://www.youtube.com/watch?v=aCWI61QX1OU

First Look at Ghidra (NSA Reverse Engineering Tool)
https://youtu.be/285b_DEmvHY

Первые "закладки"
RCE Through JDWP Debug Port
https://github.com/NationalSecurityAgency/ghidra/issues/6

Ну и жаба дает себя знать.
Скорость начального анализа бинарей по сравнению с идой, в основном на эльфах, опции анализа дефолтные. Никакой статистики, просто числа.

формат / размер / ида / гидра
ELF SO / 50K / 1 сек / 1 сек
ELF SO / 100K / 1 сек / 3 сек
ELF SO / 550K / 5 сек / 13 сек
ELF SO / 1,2M / 13 сек / 1 мин 8 сек
ELF SO / 32M / 22 сек / 1 мин 23 сек
ELF SO + DWARF / 40M / 4 мин 7 сек / 23 мин 21 сек
PE DLL / 3M / 58 сек / 67 сек
PE DLL / 3M / 32 сек / 37 сек
PE DLL + RTTI / 30M / 26 сек / 16 мин 10 сек

x86 Instructions
NJBA - NSA Java Backdoor Activate

Презенташка с RSA
https://www.rsaconference.com/writable/presentations/file_upload/png-t09-come-get-your-free-nsa-reverse-engineering-tool_.pdf

| Сообщение посчитали полезным: sty, sefkrd, bartolomeo


Ранг: 388.4 (мудрец)
Статус: Участник

Создано: 6 марта 2019 09:45 New!
Цитата · Личное сообщение · #9

awlost пишет:
Выложите на обменник пожалуйста, а то на оффсайте CloudFront делает 403: The request could not be satisfied


--> тут <--

| Сообщение посчитали полезным: awlost


Ранг: 65.0 (постоянный)
Статус: Участник

Создано: 6 марта 2019 16:51 New!
Цитата · Личное сообщение · #10

инструмент для красноглазиков
как декомпиль с армами?

Ранг: 238.9 (наставник)
Статус: Участник

Создано: 6 марта 2019 17:33 New!
Цитата · Личное сообщение · #11

Ну такое, на шару пойдёт
С одной стороны - куча архитектур, автоанализ, декомпиль, разбор RTTI и куча всего.
А с другой - закинул PE x64 на 30MB, и за пол дня оно автоанализ так и не закончило на трёх ядрах по 3.3ГГц.
Ида поудобнее в использовании...

| Сообщение посчитали полезным: sty



Ранг: 226.3 (наставник)
Статус: Участник

Создано: 6 марта 2019 21:14 New!
Цитата · Личное сообщение · #12

А где-то в мире есть извращенцы с:
Code:
  1. idc.set_inf_attr(INFFL_AUTO,0)

в авторан-скрипте к иде Но замеры скорости автоанализа архиважнейшная штука.

Ранг: 238.9 (наставник)
Статус: Участник

Создано: 6 марта 2019 22:02 New!
Цитата · Личное сообщение · #13

Ну не то чтоб архиважнейшая...
Вот честно, я был готов ждать.
Но блин Ида минут за 20 разобрала, а Гидра за 4 часа так и не закончила.
И это 30МБ. А что будет если я PE на 350МБ закину, на который у Иды около часа уходит?
Сутками ждать что-ли?


Ранг: 226.3 (наставник)
Статус: Участник

Создано: 6 марта 2019 22:07 New!
Цитата · Личное сообщение · #14

cppasm пишет:
А что будет если я PE на 350МБ закину, на который у Иды около часа уходит?

Ну я только со своей колокольни вижу, обзоры с других колоколен мне не доступны. В иде для всего кроме интела я автоанализ намеренно отключаю. Менее распространенные архитектуры разбирает так, что дольше убирать потом за ней ее анализы. Так что вот. Пока имхо главный минус гидры это не куча, а кучка архитектур, но это надеюсь исправимо.

Ранг: 0.3 (гость)
Статус: Участник

Создано: 6 марта 2019 22:08 New!
Цитата · Личное сообщение · #15

Заметил такую фигню, что декомпилер не разбирает аргументы положенные с помощью mov, к примеру:
ида разобрала правильно: ,
а вот гидра облажалась

или это как то включается в гидре, так и не смог понять


Ранг: 226.3 (наставник)
Статус: Участник

Создано: 6 марта 2019 22:17 · Поправил: f13nd New!
Цитата · Личное сообщение · #16

43-j пишет:
или это как то включается в гидре, так и не смог понять

Видно, что в гидре выбран прототип __stdcall, ecx в его аргументы не входит. Попробуй прототип сменить.

ЗЫ: нужный в ней есть ghidra_9.0\Ghidra\Processors\x86\data\languages\x86win.cspec, осталось придумать как включить

| Сообщение посчитали полезным: 43-j


Ранг: 77.9 (постоянный)
Статус: Участник

Создано: 6 марта 2019 22:52 · Поправил: v00doo New!
Цитата · Личное сообщение · #17

Декомпиль, декомпиль, чего вы к нему прицепились, вы видели сколько там всяких сценариев, да оно в разы документирование иды
Ну а еще там можно всяких интересностей накопать может =)

Для фри софта оно очень даже годное, если говорить уж так, мы тут потыкали его, некоторые плюшки реализованы даже лучше, чем в ida, как минимум они интересные, мелочи вроде, а очень часто их не хватало тот же прыг в огромном графе на начало, расцветка.

Ксатаи да, как настроить шрифт, уже кто нашел ?


Ранг: 226.3 (наставник)
Статус: Участник

Создано: 6 марта 2019 23:09 New!
Цитата · Личное сообщение · #18

v00doo пишет:
Ксатаи да, как настроить шрифт, уже кто нашел

Ага, спрятано глубоко Edit-Tool Options --> Link <--

Ранг: 77.9 (постоянный)
Статус: Участник

Создано: 6 марта 2019 23:14 · Поправил: v00doo New!
Цитата · Личное сообщение · #19

f13nd, ага, да там целый простор (сразу в этом пункте и не заметил конфига общего)
Но иконки на винде с 120ddpi брррр


Ранг: 226.3 (наставник)
Статус: Участник

Создано: 6 марта 2019 23:18 · Поправил: f13nd New!
Цитата · Личное сообщение · #20

Ну вобщем это фри и в то же время изначально не фри. Идеально. Совершенно бесплатный пармезан без мышеловки.


Ранг: 535.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 6 марта 2019 23:38 New!
Цитата · Личное сообщение · #21

если кто еще не видел:

in the Ghidra install directory in "Extensions/IDAPro/Python/{6xx,7xx}"
живут
IDA Exporters - plugins for IDA which facilitate the transfer of annotations from IDA Pro to Ghidra. Based on IDAPython.

Ранг: 238.9 (наставник)
Статус: Участник

Создано: 7 марта 2019 01:36 · Поправил: cppasm New!
Цитата · Личное сообщение · #22

f13nd пишет:
Пока имхо главный минус гидры это не куча, а кучка архитектур, но это надеюсь исправимо.

А чего не хватает?
x86, x86-64, ARM, MIPS, PowerPC.
Все ходовые вроде есть.
Хотя у всех конечно своя специфика...


Ранг: 226.3 (наставник)
Статус: Участник

Создано: 7 марта 2019 01:44 · Поправил: f13nd New!
Цитата · Личное сообщение · #23

cppasm пишет:
Всё ходовые вроде есть.

Ходовое да, ходовое и капстоун и все его производные поддерживают. Нету продукции Renesas, Infineon, Siemens. Из того, что есть, PowerPC интересен и тот не очень.


Ранг: 44.3 (посетитель)
Статус: Участник

Создано: 7 марта 2019 01:59 New!
Цитата · Личное сообщение · #24

о ништяк, её уже добавили в aur пакеты, хоть будет повод себе поставить засранца теперь, бгг

| Сообщение посчитали полезным: sefkrd



Ранг: 226.3 (наставник)
Статус: Участник

Создано: 7 марта 2019 03:57 New!
Цитата · Личное сообщение · #25

А я дурачек и сдк не разглядел в комплекте. Еклипс с антом, установить сдк и можно конпелировать.

Ранг: 112.9 (ветеран)
Статус: Участник

Создано: 7 марта 2019 04:42 New!
Цитата · Личное сообщение · #26

Кто-то проверил качество декомпиляции, возможность создавать структуры, чтобы подхватывались декомпилятором?

Возможность написать свой загрузчик?

Ранг: -25.9 (нарушитель)
Статус: Участник

Создано: 7 марта 2019 08:46 New!
Цитата · Личное сообщение · #27

f13nd пишет:
А я дурачек и ...

А я тогда кто?


Просьба к сильным сайта сего и не только. Если не трудно и позволяет время - пишите про свои замечания и наблюдения в отношении GHIDRA. Даже если что-то вам кажется мелочью и не столь существенным, все равно это будет интересно людям у которых небогатый опыт работы с подобными программами.


Ранг: 535.3 (!)
Статус: Участник
_Вечный_Студент_

Создано: 7 марта 2019 10:46 New!
Цитата · Личное сообщение · #28

sty пишет:
пишите про свои замечания и наблюдения в отношении GHIDRA.


url=https://www.reddit.com/r/ReverseEngineering/comments/ax2gma/ghidra_stickied_thread/ehvto2u/

| Сообщение посчитали полезным: sty, kp0m



Ранг: 157.2 (ветеран)
Статус: Участник

Создано: 7 марта 2019 17:25 New!
Цитата · Личное сообщение · #29

Британский ИБ-эксперт и глава Hacker House Мэтью Хики (Matthew Hickey) заметил, что в отладочном режиме инструмент АНБ открывает и «слушает» сетевой порт 18001, что позволяет подключиться к Ghidra удаленно, через JDWP (разумеется, с целью все той же отладки). Хики отмечает, что исправить проблему совсем несложно.

| Сообщение посчитали полезным: plutos



Ранг: 520.1 (!)
Статус: Участник
Победитель турнира 2010

Создано: 7 марта 2019 21:21 · Поправил: OKOB New!
Цитата · Личное сообщение · #30

Хайп набирает силу.

Твиттер аккаунт от имени гидры: https://twitter.com/GHIDRA_RE

Дока по API: http://ghidra.re/ghidra_docs/api/

Онлайн курсы: http://ghidra.re/online-courses/

| Сообщение посчитали полезным: SReg, 43-j, sty

. 1 . 2 . 3 . 4 . 5 . 6 . >>
 eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS