eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 3 апреля!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: pittik (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools
<< . 1 . 2 . 3 . 4 .
Посл.ответ Сообщение


Ранг: 224.4 (наставник)
Статус: Участник
radical

Создано: 6 марта 2019 04:20 · Поправил: DimitarSerg New!
Цитата · Личное сообщение · #1



A software reverse engineering (SRE) suite of tools developed by NSA's Research Directorate in support of the Cybersecurity mission

It helps analyze malicious code and malware like viruses, and can give cybersecurity professionals a better understanding of potential vulnerabilities in their networks and systems.


GHIDRA 9.0.2 released !
--> Changelog <--
--> Download <--
--> GHIDRA Sources [github] <--

--> CheatSheet: <--

--> Презентация с RSA <--

--> Twitter от имени гидры: <--
--> Онлайн курсы: <--
--> Документация по API <--

--> Daenerys <-- is an interop framework that allows you to run IDAPython scripts under Ghidra and Ghidra scripts under IDA Pro with little to no modifications.
--> FindCrypt - Ghidra Edition <--
--> An Abstract Interpretation-Based Deobfuscation <--

--> Канал гидры на youtube: <--
Список видео на канале:
Code:
  1. 1. Ghidra quickstart & tutorial: Solving a simple crackme
  2. 2. Reverse engineering with #Ghidra: Breaking an embedded firmware encryption scheme
  3. 3. Reversing WannaCry Part 1 in Ghidra

--> GHIDRA | Reverse Engineering a PWN Challenge <--

--> Модернизация GHIDRA. Загрузчик для ромов Sega Mega Drive <--
--> Хакер - Ghidra vs crackme. Обкатываем конкурента IDA Pro на примере решения хитрой крэкми с VM <--
--> Reverse Engineering Gootkit with Ghidra Part I <--
--> A few Ghidra tips for IDA users, part 0 - automatic comments for API call parameters <--

| Сообщение посчитали полезным: SReg, sefkrd, CyberGod, Vnv, Gideon Vi, cppasm, mak, v00doo, Rio, Orlyonok, sergio12



Ранг: 635.3 (!)
Статус: Участник
CyberMonk

Создано: 5 апреля 2019 15:39 New!
Цитата · Личное сообщение · #2

reversecode пишет:
хейтер макоси и линкса ?
на дотнете уже есть одно Г https://github.com/uxmal/reko


Не обязательно, макос и линкс крутые ОС, зависит конечно от опыта, но мне бы было проще переписать ява код на сшарп, чем на сишку, да и парадигмы открытости и простоты сшарп совместимы с ява подходом. На .NET можно писать и под линукс.

reversecode пишет:
на дотнете уже есть одно Г https://github.com/uxmal/reko

Любопытно, спасибо


Ранг: 1003.3 (!!!!)
Статус: Участник

Создано: 5 апреля 2019 15:44 New!
Цитата · Личное сообщение · #3

mak пишет:
На .NET можно писать и под линукс.

писать конечно можно
Использовать нельзя


Ранг: 169.2 (ветеран)
Статус: Участник

Создано: 5 апреля 2019 23:26 New!
Цитата · Личное сообщение · #4

В Ыде есть полезная мелочь - подсветка выделенного текста во всем листинге. Помогает быстро найти откуда взялось значение регистра или наоборот - где используется. В стоковой гидре эта возможность сделана неудобно, через поиск. Простенький плугин, который делает такую же подсветку в гидре --> Link <--. Распаковать в папку Ghidra\Features, включить плагин в File-Configure-Ghidra Core-CodeViewHighlightPlugin.

Исходник прилагается. Если кто не пробовал писать гидроплугины - рекомендую. Незабываемый опыт автоматического исправления ошибок в исходнике буквально кликами мышью по крестикам.

| Сообщение посчитали полезным: dma


Ранг: 135.0 (ветеран)
Статус: Участник

Создано: 5 апреля 2019 23:42 New!
Цитата · Личное сообщение · #5

f13nd пишет:
Незабываемый опыт автоматического исправления ошибок в исходнике буквально кликами мышью по крестикам.

А че, оно само по крестику нажать не может, раз понимает, что там ошибка? Подождем чего-нибудь стоящего на питоне. Чтоб рандомно стучать по клавишам, а оно само все исправляло и конпелировало


Ранг: 169.2 (ветеран)
Статус: Участник

Создано: 5 апреля 2019 23:44 New!
Цитата · Личное сообщение · #6

rmn пишет:
А че, оно само по крестику нажать не может, раз понимает, что там ошибка?

Это я немного утрировал, после клика по крестику надо выбрать правильный вариант как исправить Такой элемент викторины в этой развивающей игре. Но обычно самый предпочтительный первая строчка.

Ранг: 65.4 (постоянный)
Статус: Участник

Создано: 6 апреля 2019 02:06 New!
Цитата · Личное сообщение · #7

есть сорцы уродливей .java...?


Ранг: 127.2 (ветеран)
Статус: Участник

Создано: 6 апреля 2019 04:11 New!
Цитата · Личное сообщение · #8

f13nd пишет:
В Ыде есть полезная мелочь - подсветка выделенного текста во всем листинге

В стоковой гидре это включается кликом на колесо мыши.
Options->Listing fields->Cursor text highlight тут можно поменять.

| Сообщение посчитали полезным: f13nd



Ранг: 169.2 (ветеран)
Статус: Участник

Создано: 6 апреля 2019 10:26 New!
Цитата · Личное сообщение · #9

zeppe1in пишет:
В стоковой гидре это включается кликом на колесо мыши.

Ну да, аналог левого клика мыши в иде, подстроку выбирает само. И даже в отличие от иды не захватывает спецсимволы типа "@". Не видел такую опцию.

Ранг: 0.4 (гость)
Статус: Участник

Создано: 7 апреля 2019 08:34 · Поправил: dma New!
Цитата · Личное сообщение · #10

f13nd пишет:
Простенький плугин, который делает такую же подсветку в гидре --> Link <--. Распаковать в папку Ghidra\Features, включить плагин в File-Configure-Ghidra Core-CodeViewHighlightPlugin.


f13nd, поражаюсь вашей пассионарности. Пока основная масса народу продолжает изучать Гидру, и читать кто что пишет про ее недостатки. f13nd уже успел процессорный модуль, несколько скриптов и плагин сделать.

Скачал себе на всякий случай - вдруг когда-нибудь понадобится написать свой плагин к Гидре. Лишний образец, я думаю, не помешает.

| Сообщение посчитали полезным: hash87szf



Ранг: 169.2 (ветеран)
Статус: Участник

Создано: 7 апреля 2019 15:20 New!
Цитата · Личное сообщение · #11

Плугин Aggressive Instruction Finder находит почти 100% кода с очень небольшим процентом ложных срабатываний. Умиляет, как он пытается увидеть инструкцию типа "sub <stack_pointer>,<imm>" даже там где ее нет и считает это убедительным аргументом в пользу того, что здесь начинается процедура. После такого анализа не хочется все снести и разобрать руками, как в иде.

Ранг: 72.1 (постоянный)
Статус: Участник

Создано: 9 апреля 2019 23:06 New!
Цитата · Личное сообщение · #12

--> Ломаем простую «крякми» при помощи Ghidra — Часть 1 <--

| Сообщение посчитали полезным: Gideon Vi, mak, S00mbre



Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 10 апреля 2019 11:21 New!
Цитата · Личное сообщение · #13

--> Ломаем простую «крякми» при помощи Ghidra — Часть 2 <--

| Сообщение посчитали полезным: mak, S00mbre



Ранг: 1003.3 (!!!!)
Статус: Участник

Создано: 10 апреля 2019 11:25 New!
Цитата · Личное сообщение · #14

мне реально не понятно с чего такой хайп на гидру
когда ида это умела лет 10 назад
про нее это не писали
а в гидре типа выставляется как какое то новшество

Ранг: 5.5 (гость)
Статус: Участник

Создано: 10 апреля 2019 11:37 New!
Цитата · Личное сообщение · #15

reversecode пишет:
когда ида это умела лет 10 назад
про нее это не писали

Потому что цена на иду обламывала весь кайф, вот и не писали и хайпа не было.

К иде хайп возникает, только когда утекает дистрибутив, особенно без пароля... =)


Ранг: 1003.3 (!!!!)
Статус: Участник

Создано: 10 апреля 2019 11:56 New!
Цитата · Личное сообщение · #16

под хайпом я понимаю постоянную генерацию каких то обзоров и примеров
не понимаю причем здесь цена на иду
т.е. на утекшиую иду все боялись создать мануал ?
и кроме крисов касперского и игла никто не сумел этого сделать пока наваха не взялся ?

Добавлено спустя 1 час 22 минуты
подход номер два к гидре
mips ELF 8 мег, даже мангл функции, есть С++ классы тоже
на удивление гидра его быстро загрузила
и даже проанализировала относительно быстро

даже демангл переварила и показала
видимо он работает только на старте
а я предыдущий раз переименовывал функции после анализа

дальше все грустно
1) операции над int64 % / не умеет определять, т.е. гцц генерит функции __divdi3 __moddi3
которые надо обрабатывать и как делает хексрейс
2) тип функций гидра не определила
все аргументы не смогла определить
поэтому без аргументов
но над каждой функцией
/* WARNING: Unknown calling convention yet parameter storage is locked */
3)
switch/case это какая то хохма
значение кейса в одном свитче прыгают от числовых, символьных до хексовых с минусом

больше терпения не хватило
слишком много избыточной информации выдает гидра


Ранг: 169.2 (ветеран)
Статус: Участник

Создано: 10 апреля 2019 16:16 New!
Цитата · Личное сообщение · #17

По некоторым направлениям в иде за 10 лет не поменялось ничего --> Link <-- (повезло, что у этой процедуры есть еще референсы, иначе ида бы решила, что это константа)
Зарисовка на тему автоанализа (он в иде говорят очень быстр), руками не лазал, только кнопкодавный стиль и стоковые плагины --> Link <--

| Сообщение посчитали полезным: S00mbre


Ранг: 0.9 (гость)
Статус: Участник

Создано: 11 апреля 2019 07:05 · Поправил: S00mbre New!
Цитата · Личное сообщение · #18

Dart Raiden пишет:
--> Ломаем простую «крякми» при помощи Ghidra — Часть 1 <--

@4kusNick пишет:
--> Ломаем простую «крякми» при помощи Ghidra — Часть 2 <--


Спасибо за ссылки на мою статью. Конечно, Гидра не дотягивает до Иды, никто сейчас и не говорит о том, что это полностью равноценные продукты. Но Ида - уже ветеран, а Гидра только недавно родилась на свет и у нее определенно есть потенциал для развития. Кроме того - это уже много раз отмечали - это полностью бесплатный инструмент, и, похоже, теперь он будет развиваться благодаря коммьюнити. Я думаю, что через пару лет все эти шероховатости и баги, плохое юзабилити и т.д. могут быть преодолены.


Ранг: 1102.9 (!!!!)
Статус: Участник

Создано: 11 апреля 2019 07:58 New!
Цитата · Личное сообщение · #19

reversecode пишет:
мне реально не понятно с чего такой хайп на гидру


почитай о причинах зарождения хайпа )
Любая адекватная движуха по гидре только в плюс комьюнити. С какой стороны не посмотри.

| Сообщение посчитали полезным: plutos



Ранг: 423.1 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 19 апреля 2019 00:10 New!
Цитата · Личное сообщение · #20

An Abstract Interpretation-Based Deobfuscation --> Plugin for Ghidra <--

| Сообщение посчитали полезным: mak

<< . 1 . 2 . 3 . 4 .
 eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS