eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 8 мая!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: UnknownNone, dezmand07, BOB666BOB, RoKZaR, Adler, vden (+3 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools
<< . 1 . 2 . 3 . 4 . 5 .
Посл.ответ Сообщение


Ранг: 225.2 (наставник)
Статус: Участник
radical

Создано: 6 марта 2019 04:20 · Поправил: DimitarSerg New!
Цитата · Личное сообщение · #1



A software reverse engineering (SRE) suite of tools developed by NSA's Research Directorate in support of the Cybersecurity mission

It helps analyze malicious code and malware like viruses, and can give cybersecurity professionals a better understanding of potential vulnerabilities in their networks and systems.


GHIDRA 9.0.2 released !
--> Changelog <--
--> Download <--
--> GHIDRA Sources [github] <--

--> CheatSheet: <--

--> Презентация с RSA <--

--> Twitter от имени гидры: <--
--> Онлайн курсы: <--
--> Документация по API <--

--> Daenerys <-- is an interop framework that allows you to run IDAPython scripts under Ghidra and Ghidra scripts under IDA Pro with little to no modifications.
--> FindCrypt - Ghidra Edition <--
--> An Abstract Interpretation-Based Deobfuscation <--

--> Канал гидры на youtube: <--
Список видео на канале:
Code:
  1. 1. Ghidra quickstart & tutorial: Solving a simple crackme
  2. 2. Reverse engineering with #Ghidra: Breaking an embedded firmware encryption scheme
  3. 3. Reversing WannaCry Part 1 in Ghidra

--> GHIDRA | Reverse Engineering a PWN Challenge <--

--> Модернизация GHIDRA. Загрузчик для ромов Sega Mega Drive <--
--> Хакер - Ghidra vs crackme. Обкатываем конкурента IDA Pro на примере решения хитрой крэкми с VM <--
--> Reverse Engineering Gootkit with Ghidra Part I <--
--> A few Ghidra tips for IDA users, part 0 - automatic comments for API call parameters <--

| Сообщение посчитали полезным: SReg, sefkrd, CyberGod, Vnv, Gideon Vi, cppasm, mak, v00doo, Rio, Orlyonok, sergio12, kp0m, memadm



Ранг: 184.0 (ветеран)
Статус: Участник

Создано: 28 апреля 2019 22:06 New!
Цитата · Личное сообщение · #2

sergeu пишет:
Power Architecture

Набор инструкций PowerPC гидра из коробки поддерживает.
sergeu пишет:
Кстати как гидра работает с Variable length encoding (VLE), allowing mixed 16-bit and 32-bit ins

ppc_64_isa_vle_be.slaspec ("PowerISA-VLE-64-32addr")
ppc_64_isa_altivec_vle_be.slaspec ("PowerISA-VLE-Altivec-64-32addr")
Посмотри это ли.
sergeu пишет:
Да и есть опыт работы с хитрыми процессорами фрескале с переключаемыми банками кода и епрома? Вобще возможно ли реализавать это для плагина гидры?

Все, что не потянет сам движок sleigh, можно закостылить плагином-анализером. (например для расстановки delay slot'ов в зависимости от msb следующей инструкции недавно делал плугин, на движке этого сделать нельзя, получилось) Так что потенциально поддерживает что угодно. Регистрируешься как AnalyzerType.INSTRUCTION_ANALYZER, подкручиваешь значение в контексте, дизасмишь заново (Disassembler.getDisassembler'ом, чтоб эвент не создавало еще один).

| Сообщение посчитали полезным: sergeu


Ранг: 5.7 (гость)
Статус: Участник

Создано: 28 апреля 2019 22:31 New!
Цитата · Личное сообщение · #3

f13nd Спасибо. Не обращал на эти позиции.
В принципе автопоиска нету, но есть вариант самому обозначить секцию кода или данных. Да команды как из даташита или 32 или 16 битные идут. Попробуем конечно проверить качество дизасма тестом своего кода для начала. Чтобы видеть где что размечается в коде. Потому как адреса расположения памяти и кода не нашёл на этот проц.


Ранг: 184.0 (ветеран)
Статус: Участник

Создано: 28 апреля 2019 22:39 New!
Цитата · Личное сообщение · #4

sergeu пишет:
Попробуем конечно проверить качество дизасма тестом своего кода для начала.

Даже в худшем варианте, если придется свой дизасм делать, 140 всего форматов инструкций. После тренировки за пару вечеров управишься В плане анализа динамической адресации ида сольет гидре всухую. Я уже полностью на гидру перешел и доволен.

Ранг: 5.7 (гость)
Статус: Участник

Создано: 28 апреля 2019 22:49 · Поправил: sergeu New!
Цитата · Личное сообщение · #5

Научится бы плагины ваять как под копирку,много есть интересных процов которые хотелось бы добавить. Особенно из за псевдоси. На мой взгляд за ней будущее, хоть пока она и сыровата.
Кстати есть ли по ней статейки, ну там как типа глянуть дерево вызывов функций ну и прочие мелочи?
Кстати ида так и не открыла данный проц. Ну или есть какие то фичи неочевидные, ну или очевидные только разработчику ида.


Ранг: 184.0 (ветеран)
Статус: Участник

Создано: 28 апреля 2019 23:03 New!
Цитата · Личное сообщение · #6

Есть справочник по апи \docs\GhidraAPI_javadoc.zip и немного по движку \docs\languages\ Примеры полезно в самих исходниках искать. Туториал с картинками как эклипс настроить где-то выше в теме был.


Ранг: 184.0 (ветеран)
Статус: Участник

Создано: 30 апреля 2019 11:37 · Поправил: f13nd New!
Цитата · Личное сообщение · #7

Думал может я чего поломал, распаковал обе версии начисто, проверил - точно. Похоже началось... Опенсурсники снесли важный функционал в версии 9.0.2 (аналог additional load) И радость была бы неполной, если бы PointerDataType() корректно обрабатывался в ByteMappedBlock.

ЗЫ: насчет функционала был неправ, а баг действительно баг.


Ранг: 184.0 (ветеран)
Статус: Участник

Создано: 8 мая 2019 09:08 New!
Цитата · Личное сообщение · #8

Плагин для пакетной замены адресных пространств в референсах. Для профилактики артрита. --> Link <--

Берет выделение из code viewer'а, либо подставляет максимальный/минимальный адрес адресного пространства. В гидре можно создавать любое количество адресных пространств (через add memory block - overlay в memory map, либо file - add to program с галкой overlay) адреса в которых могут совпадать с другими. Полезно, если в одно и то же место помещаются разные данные/код, в иде из-за этого получается каша из референсов, в которую можно загрузить только что-то одно.

| Сообщение посчитали полезным: sergeu, plutos, mak, dma, DICI BF


Ранг: 5.7 (гость)
Статус: Участник

Создано: 8 мая 2019 09:46 New!
Цитата · Личное сообщение · #9

А проц какой либо из серии фрискале не освоил? Или это ещё и в других процах такая фича есть?


Ранг: 184.0 (ветеран)
Статус: Участник

Создано: 8 мая 2019 17:59 New!
Цитата · Личное сообщение · #10

sergeu пишет:
А проц какой либо из серии фрискале не освоил?

Интересовали в основном tricore,sh,m32r, их освоил. Это не фича проца, может иногда пригодиться где угодно, поэтому и выложил


Ранг: 437.1 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 10 мая 2019 23:22 New!
Цитата · Личное сообщение · #11

Three Heads are Better Than One: --> Mastering Ghidra <--- Alexei Bulazel, Jeremy Blackthorne - INFILTRATE 2019

75% of this presentation was live tutorials, so watching the video is best the way to experience it.

| Сообщение посчитали полезным: bartolomeo



Ранг: 437.1 (мудрец)
Статус: Участник
_Вечный_Студент_

Создано: 19 мая 2019 06:00 · Поправил: plutos New!
Цитата · Личное сообщение · #12

--> Dragon Dance <--is a plugin for Ghidra to visualize and manipulate the binary code coverage data.

Пока этот plugin поддерживает Dynamorio and Intel Pin binary instrumentation tools.
Смотрится симпатично.

| Сообщение посчитали полезным: dma, mak


Ранг: 5.0 (гость)
Статус: Участник

Создано: 19 мая 2019 08:27 · Поправил: dma New!
Цитата · Личное сообщение · #13

Какие-то "фишки" чем-то напоминающие отладчики, потихоньку начинют внедряться в гидру. То ли еще будет...

Ранг: 5.7 (гость)
Статус: Участник

Создано: 19 мая 2019 14:36 New!
Цитата · Личное сообщение · #14

f13nd пишет:
Декомпиль очень просто устроен. В \Ghidra\Processors\<name>\data\languages\ есть *.slaspec и *.sinc файлы иполученные из них промежуточные *.sla,


А поподробнее возможно? я так понял для создания плагина под нужный проц необходимо только эти два файла отредактировать? Потому как посмотрел на некоторые исходники там только эти файлы из папки дата и больше ничего.


Ранг: 184.0 (ветеран)
Статус: Участник

Создано: 19 мая 2019 16:28 New!
Цитата · Личное сообщение · #15

sergeu пишет:
А поподробнее возможно?

Скачай эклипс с ant'ом, установи в него Extensions\Eclipse\GhidraDev\GhidraDev-2.0.0.zip (help-install new software вроде). В эклипсе появится пункт меню GhidraDev, GhidraDev -> New -> Ghidra module project, галки все можешь снять. В c:\Users\<username>\eclipse-workspace\<имя проекта>\data\languages будет шаблон процессорного модуля, затаскиваешь файл c:\Users\<username>\eclipse-workspace\<имя проекта>\data\build.xml в еклипс, правой кнопкой по нему -> Run As -> Ant build сборка .sla файлов. Сам модуль в *.slaspec, в котором могут быть подключены *.sinc в качестве инклудов. *.ldefs - файл-манифест, где подмодули описаны (которые в меню при выборе процессорного модуля), *.pspec - специфичные для подмодуля параметры: ip-регистр, группы регистров, адреса системных регистров и области памяти, которые надо объявить при создании проекта этим профилем. *.cspec - директивы для декомпиля. Таким образом все файлы кроме .sla редактируются руками, *.sla компилится из *.slaspec и *.sinc антом.

Писать как *.slaspec/*.sinc устроены и как работают долго, но скорей всего сам разберешься.

Ну и если плагины будешь делать, класс Plugin основной, Analyzer - для различных костылей, в нем можно выбить высокий приоритет, чтоб не мешать другим анализаторам, Loader, Filesystem, Exporter - не особенно нужные.

| Сообщение посчитали полезным: sergeu, plutos

<< . 1 . 2 . 3 . 4 . 5 .
 eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS