eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools
<< . 1 . 2 . 3 . 4 . 5 . 6 . >>
Посл.ответ Сообщение


Ранг: 228.9 (наставник)
Статус: Участник
radical

Создано: 6 марта 2019 04:20 · Поправил: DimitarSerg New!
Цитата · Личное сообщение · #1



A software reverse engineering (SRE) suite of tools developed by NSA's Research Directorate in support of the Cybersecurity mission

It helps analyze malicious code and malware like viruses, and can give cybersecurity professionals a better understanding of potential vulnerabilities in their networks and systems.


GHIDRA 9.1 Beta released !
--> Changelog <--
--> Download <--
--> GHIDRA Sources [github] <--

--> CheatSheet: <--

--> Презентация с RSA <--

--> Twitter от имени гидры: <--
--> Онлайн курсы: <--
--> Документация по API <--

--> Daenerys <-- is an interop framework that allows you to run IDAPython scripts under Ghidra and Ghidra scripts under IDA Pro with little to no modifications.
--> FindCrypt - Ghidra Edition <--
Using --> OOAnalyzer <--<-- to Reverse Engineer Object Oriented Code with Ghidra
--> GhidraX64Dbg <--:
Code:
  1. * Extract annotations from Ghidra into an X32/X64 dbg database
  2. * Extension containing a Ghidra script to export annotations from Ghidra to an x32dbg/x64dbg database.
--> An Abstract Interpretation-Based Deobfuscation <--
Cisco Talos is releasing two new tools for IDA Pro: --> Ghidraaas <-- and --> GhIDA <-- :
Code:
  1. GhIDA is an IDA Pro plugin that integrates the Ghidra decompiler in the IDA workflow, giving users the ability to rename and highlight symbols and improved navigation and comments. GhIDA assists the reverse-engineering process by decompiling x86 and x64 PE and ELF binary functions, using either a local installation of Ghidra, or Ghidraaas ( Ghidra as a Service) — a simple docker container that exposes the Ghidra decompiler through REST APIs
Automating --> Ghidra <--: writing a script to find banned functions
--> Канал гидры на youtube: <--
Список видео на канале:
Code:
  1. 1. Ghidra quickstart & tutorial: Solving a simple crackme
  2. 2. Reverse engineering with #Ghidra: Breaking an embedded firmware encryption scheme
  3. 3. Reversing WannaCry Part 1 in Ghidra
--> Software Reverse Engineering with Ghidra (Video tutors) <--
Code:
  1.     Software Reverse Engineering with Ghidra -- Setup and installation
  2.     Software Reverse Engineering with Ghidra -- How to import files and get started
  3.     Software Reverse Engineering with Ghidra -- Creating Structures
  4.     Software Reverse Engineering with Ghidra -- Creating Arrays and Changing Function Signatures
  5.     Software Reverse Engineering with Ghidra -- C++ Classes Part 1, Part 2,  Part 3
  6.     Software Reverse Engineering with Ghidra -- C++ Classes Stack and Global Classes

--> GHIDRA | Reverse Engineering a PWN Challenge <--

--> Модернизация GHIDRA. Загрузчик для ромов Sega Mega Drive <--
--> Хакер - Ghidra vs crackme. Обкатываем конкурента IDA Pro на примере решения хитрой крэкми с VM <--
--> Reverse Engineering Gootkit with Ghidra Part I <--
--> A few Ghidra tips for IDA users, part 0 - automatic comments for API call parameter <--
--> Implementing a New CPU Architectures <--
--> Toshiba MeP-c4 for Ghidra <--
Ghidra --> utilities <--for analyzing firmware

| Сообщение посчитали полезным: SReg, sefkrd, CyberGod, Vnv, Gideon Vi, cppasm, mak, v00doo, Rio, Orlyonok, sergio12, kp0m, memadm, Hugo Chaves



Ранг: 657.3 (! !)
Статус: Участник
CyberMonk

Создано: 5 апреля 2019 15:39 New!
Цитата · Личное сообщение · #2

reversecode пишет:
хейтер макоси и линкса ?
на дотнете уже есть одно Г https://github.com/uxmal/reko


Не обязательно, макос и линкс крутые ОС, зависит конечно от опыта, но мне бы было проще переписать ява код на сшарп, чем на сишку, да и парадигмы открытости и простоты сшарп совместимы с ява подходом. На .NET можно писать и под линукс.

reversecode пишет:
на дотнете уже есть одно Г https://github.com/uxmal/reko

Любопытно, спасибо


Ранг: 1014.5 (!!!!)
Статус: Участник

Создано: 5 апреля 2019 15:44 New!
Цитата · Личное сообщение · #3

mak пишет:
На .NET можно писать и под линукс.

писать конечно можно
Использовать нельзя


Ранг: 228.1 (наставник)
Статус: Участник

Создано: 5 апреля 2019 23:26 New!
Цитата · Личное сообщение · #4

В Ыде есть полезная мелочь - подсветка выделенного текста во всем листинге. Помогает быстро найти откуда взялось значение регистра или наоборот - где используется. В стоковой гидре эта возможность сделана неудобно, через поиск. Простенький плугин, который делает такую же подсветку в гидре --> Link <--. Распаковать в папку Ghidra\Features, включить плагин в File-Configure-Ghidra Core-CodeViewHighlightPlugin.

Исходник прилагается. Если кто не пробовал писать гидроплугины - рекомендую. Незабываемый опыт автоматического исправления ошибок в исходнике буквально кликами мышью по крестикам.

| Сообщение посчитали полезным: dma


Ранг: 141.4 (ветеран)
Статус: Участник

Создано: 5 апреля 2019 23:42 New!
Цитата · Личное сообщение · #5

f13nd пишет:
Незабываемый опыт автоматического исправления ошибок в исходнике буквально кликами мышью по крестикам.

А че, оно само по крестику нажать не может, раз понимает, что там ошибка? Подождем чего-нибудь стоящего на питоне. Чтоб рандомно стучать по клавишам, а оно само все исправляло и конпелировало


Ранг: 228.1 (наставник)
Статус: Участник

Создано: 5 апреля 2019 23:44 New!
Цитата · Личное сообщение · #6

rmn пишет:
А че, оно само по крестику нажать не может, раз понимает, что там ошибка?

Это я немного утрировал, после клика по крестику надо выбрать правильный вариант как исправить Такой элемент викторины в этой развивающей игре. Но обычно самый предпочтительный первая строчка.

Ранг: 65.0 (постоянный)
Статус: Участник

Создано: 6 апреля 2019 02:06 New!
Цитата · Личное сообщение · #7

есть сорцы уродливей .java...?


Ранг: 127.3 (ветеран)
Статус: Участник

Создано: 6 апреля 2019 04:11 New!
Цитата · Личное сообщение · #8

f13nd пишет:
В Ыде есть полезная мелочь - подсветка выделенного текста во всем листинге

В стоковой гидре это включается кликом на колесо мыши.
Options->Listing fields->Cursor text highlight тут можно поменять.

| Сообщение посчитали полезным: f13nd



Ранг: 228.1 (наставник)
Статус: Участник

Создано: 6 апреля 2019 10:26 New!
Цитата · Личное сообщение · #9

zeppe1in пишет:
В стоковой гидре это включается кликом на колесо мыши.

Ну да, аналог левого клика мыши в иде, подстроку выбирает само. И даже в отличие от иды не захватывает спецсимволы типа "@". Не видел такую опцию.

Ранг: -12.1 (нарушитель)
Статус: Участник

Создано: 7 апреля 2019 08:34 · Поправил: dma New!
Цитата · Личное сообщение · #10

f13nd пишет:
Простенький плугин, который делает такую же подсветку в гидре --> Link <--. Распаковать в папку Ghidra\Features, включить плагин в File-Configure-Ghidra Core-CodeViewHighlightPlugin.


f13nd, поражаюсь вашей пассионарности. Пока основная масса народу продолжает изучать Гидру, и читать кто что пишет про ее недостатки. f13nd уже успел процессорный модуль, несколько скриптов и плагин сделать.

Скачал себе на всякий случай - вдруг когда-нибудь понадобится написать свой плагин к Гидре. Лишний образец, я думаю, не помешает.

| Сообщение посчитали полезным: hash87szf



Ранг: 228.1 (наставник)
Статус: Участник

Создано: 7 апреля 2019 15:20 New!
Цитата · Личное сообщение · #11

Плугин Aggressive Instruction Finder находит почти 100% кода с очень небольшим процентом ложных срабатываний. Умиляет, как он пытается увидеть инструкцию типа "sub <stack_pointer>,<imm>" даже там где ее нет и считает это убедительным аргументом в пользу того, что здесь начинается процедура. После такого анализа не хочется все снести и разобрать руками, как в иде.

Ранг: 81.0 (постоянный)
Статус: Участник

Создано: 9 апреля 2019 23:06 New!
Цитата · Личное сообщение · #12

--> Ломаем простую «крякми» при помощи Ghidra — Часть 1 <--

| Сообщение посчитали полезным: Gideon Vi, mak, S00mbre



Ранг: 748.2 (! !)
Статус: Участник
bytecode!

Создано: 10 апреля 2019 11:21 New!
Цитата · Личное сообщение · #13

--> Ломаем простую «крякми» при помощи Ghidra — Часть 2 <--

| Сообщение посчитали полезным: mak, S00mbre



Ранг: 1014.5 (!!!!)
Статус: Участник

Создано: 10 апреля 2019 11:25 New!
Цитата · Личное сообщение · #14

мне реально не понятно с чего такой хайп на гидру
когда ида это умела лет 10 назад
про нее это не писали
а в гидре типа выставляется как какое то новшество

Ранг: 7.8 (гость)
Статус: Участник

Создано: 10 апреля 2019 11:37 New!
Цитата · Личное сообщение · #15

reversecode пишет:
когда ида это умела лет 10 назад
про нее это не писали

Потому что цена на иду обламывала весь кайф, вот и не писали и хайпа не было.

К иде хайп возникает, только когда утекает дистрибутив, особенно без пароля... =)


Ранг: 1014.5 (!!!!)
Статус: Участник

Создано: 10 апреля 2019 11:56 New!
Цитата · Личное сообщение · #16

под хайпом я понимаю постоянную генерацию каких то обзоров и примеров
не понимаю причем здесь цена на иду
т.е. на утекшиую иду все боялись создать мануал ?
и кроме крисов касперского и игла никто не сумел этого сделать пока наваха не взялся ?

Добавлено спустя 1 час 22 минуты
подход номер два к гидре
mips ELF 8 мег, даже мангл функции, есть С++ классы тоже
на удивление гидра его быстро загрузила
и даже проанализировала относительно быстро

даже демангл переварила и показала
видимо он работает только на старте
а я предыдущий раз переименовывал функции после анализа

дальше все грустно
1) операции над int64 % / не умеет определять, т.е. гцц генерит функции __divdi3 __moddi3
которые надо обрабатывать и как делает хексрейс
2) тип функций гидра не определила
все аргументы не смогла определить
поэтому без аргументов
но над каждой функцией
/* WARNING: Unknown calling convention yet parameter storage is locked */
3)
switch/case это какая то хохма
значение кейса в одном свитче прыгают от числовых, символьных до хексовых с минусом

больше терпения не хватило
слишком много избыточной информации выдает гидра


Ранг: 228.1 (наставник)
Статус: Участник

Создано: 10 апреля 2019 16:16 New!
Цитата · Личное сообщение · #17

По некоторым направлениям в иде за 10 лет не поменялось ничего --> Link <-- (повезло, что у этой процедуры есть еще референсы, иначе ида бы решила, что это константа)
Зарисовка на тему автоанализа (он в иде говорят очень быстр), руками не лазал, только кнопкодавный стиль и стоковые плагины --> Link <--

| Сообщение посчитали полезным: S00mbre


Ранг: 1.2 (гость)
Статус: Участник

Создано: 11 апреля 2019 07:05 · Поправил: S00mbre New!
Цитата · Личное сообщение · #18

Dart Raiden пишет:
--> Ломаем простую «крякми» при помощи Ghidra — Часть 1 <--

@4kusNick пишет:
--> Ломаем простую «крякми» при помощи Ghidra — Часть 2 <--


Спасибо за ссылки на мою статью. Конечно, Гидра не дотягивает до Иды, никто сейчас и не говорит о том, что это полностью равноценные продукты. Но Ида - уже ветеран, а Гидра только недавно родилась на свет и у нее определенно есть потенциал для развития. Кроме того - это уже много раз отмечали - это полностью бесплатный инструмент, и, похоже, теперь он будет развиваться благодаря коммьюнити. Я думаю, что через пару лет все эти шероховатости и баги, плохое юзабилити и т.д. могут быть преодолены.


Ранг: 1120.2 (!!!!)
Статус: Участник

Создано: 11 апреля 2019 07:58 New!
Цитата · Личное сообщение · #19

reversecode пишет:
мне реально не понятно с чего такой хайп на гидру


почитай о причинах зарождения хайпа )
Любая адекватная движуха по гидре только в плюс комьюнити. С какой стороны не посмотри.

| Сообщение посчитали полезным: plutos



Ранг: 540.1 (!)
Статус: Участник
_Вечный_Студент_

Создано: 19 апреля 2019 00:10 New!
Цитата · Личное сообщение · #20

An Abstract Interpretation-Based Deobfuscation --> Plugin for Ghidra <--

| Сообщение посчитали полезным: mak



Ранг: 528.5 (!)
Статус: Участник
5KRT

Создано: 24 апреля 2019 18:54 New!
Цитата · Личное сообщение · #21

Можете залить последний билд на обменник? На сайт не пускает

Code:
  1. 403 ERROR
  2. The request could not be satisfied.
  3. Request blocked.


Ранг: 228.1 (наставник)
Статус: Участник

Создано: 24 апреля 2019 18:56 New!
Цитата · Личное сообщение · #22

daFix пишет:
Можете залить последний билд на обменник? На сайт не пускает

На гитхабе в releases загляни.

| Сообщение посчитали полезным: daFix



Ранг: 528.5 (!)
Статус: Участник
5KRT

Создано: 24 апреля 2019 19:40 New!
Цитата · Личное сообщение · #23

f13nd
Нужна скомпиленная гидра


Ранг: 228.1 (наставник)
Статус: Участник

Создано: 24 апреля 2019 19:44 New!
Цитата · Личное сообщение · #24

ghidra_9.0.2_PUBLIC_20190403.zip

| Сообщение посчитали полезным: sefkrd



Ранг: 1014.5 (!!!!)
Статус: Участник

Создано: 24 апреля 2019 19:46 New!
Цитата · Личное сообщение · #25

что то хакеры нынче помельчали
без смекалки
а через веб архив ?
http://web.archive.org/web/20190404163028/https://ghidra-sre.org/ghidra_9.0.2_PUBLIC_20190403.zip

Ранг: 70.9 (постоянный)
Статус: Участник

Создано: 24 апреля 2019 19:54 New!
Цитата · Личное сообщение · #26

reversecode пишет:
без смекалки

Знаю, этого с горой, но вот времени - уверен, ограниченно..

Ранг: 65.0 (постоянный)
Статус: Участник

Создано: 24 апреля 2019 21:31 New!
Цитата · Личное сообщение · #27

чел на хабре сделал порт ида флёрта в гидру

Ранг: 1.2 (гость)
Статус: Участник

Создано: 26 апреля 2019 07:49 New!
Цитата · Личное сообщение · #28

https://www.majorgeeks.com/files/details/ghidra.html

Ранг: 5.7 (гость)
Статус: Участник

Создано: 28 апреля 2019 18:30 · Поправил: sergeu New!
Цитата · Личное сообщение · #29

Поможет ли кто либо в открытие гидрой проца ....... ? По идее должен поддерживатся гидрой, но с сожалению не производит анализ( вернее не находит ничего) после открытия файла.


Ранг: 228.1 (наставник)
Статус: Участник

Создано: 28 апреля 2019 18:48 · Поправил: f13nd New!
Цитата · Личное сообщение · #30

sergeu пишет:
По идее должен поддерживатся гидрой, но с сожалению не производит анализ( вернее не находит ничего)

Там основная стратегия поиска кода будет поиск таблиц адресов (галка create address tables), нету таблиц, отвечающих критериям - нету анализа. Выбирай aggressive instruction finder, либо ищи в мануале по векторам прерываний инфу (не панацея). Вообще лучше всего понимать что делаешь, а не кнопки давить.

ЗЫ: большинство плагинов-анализаторов в гидре в основном конструкторе заявляются на обработку определенных событий (не DOCR_*, а специальных AnalyzerType.*) и коллбеком added() их обрабатывают. Если ничего эти события не порождает, ничего и не работает. Они работают и без автоанализа (и в обычном режиме их нельзя по желанию выключить, баг), так что ткнув disassemble в обработчик прерывания ресет можно некоторую часть кода таки проанализировать почти что автоматически. В архитектурах где нет переключения таблиц векторов прерываний это иногда стратегия победы.

Ранг: 5.7 (гость)
Статус: Участник

Создано: 28 апреля 2019 21:55 New!
Цитата · Личное сообщение · #31

Платформа процессора e200z0 Power Architecture, может просто Гидра не поддерживает данный вид процессора?(то бишь нужен новый плагин) .
Обычно что Ида про быстро открывает и практически всегда анализирует код , и если выбран нужный процессор то сразу появляются распознанные функции и дизасеблер. Попробовал гидру на других файлах, все практически сразу определила и распознала.
Кстати как гидра работает с Variable length encoding (VLE), allowing mixed 16-bit and 32-bit instructions- то бишь инструкциями переменной длины, что то такой опции я не увидел. Да и есть опыт работы с хитрыми процессорами фрескале с переключаемыми банками кода и епрома? Вобще возможно ли реализавать это для плагина гидры?
<< . 1 . 2 . 3 . 4 . 5 . 6 . >>
 eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS