eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
обновлён 2 декабря!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: bartolomeo (+2 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools
<< . 1 . 2 . 3 . 4 . 5 . 6 .
Посл.ответ Сообщение


Ранг: 228.9 (наставник)
Статус: Участник
radical

Создано: 6 марта 2019 04:20 · Поправил: DimitarSerg New!
Цитата · Личное сообщение · #1



A software reverse engineering (SRE) suite of tools developed by NSA's Research Directorate in support of the Cybersecurity mission

It helps analyze malicious code and malware like viruses, and can give cybersecurity professionals a better understanding of potential vulnerabilities in their networks and systems.


GHIDRA 9.1 Beta released !
--> Changelog <--
--> Download <--
--> GHIDRA Sources [github] <--

--> CheatSheet: <--

--> Презентация с RSA <--

--> Twitter от имени гидры: <--
--> Онлайн курсы: <--
--> Документация по API <--

--> Daenerys <-- is an interop framework that allows you to run IDAPython scripts under Ghidra and Ghidra scripts under IDA Pro with little to no modifications.
--> FindCrypt - Ghidra Edition <--
Using --> OOAnalyzer <--<-- to Reverse Engineer Object Oriented Code with Ghidra
--> GhidraX64Dbg <--:
Code:
  1. * Extract annotations from Ghidra into an X32/X64 dbg database
  2. * Extension containing a Ghidra script to export annotations from Ghidra to an x32dbg/x64dbg database.
--> An Abstract Interpretation-Based Deobfuscation <--
Cisco Talos is releasing two new tools for IDA Pro: --> Ghidraaas <-- and --> GhIDA <-- :
Code:
  1. GhIDA is an IDA Pro plugin that integrates the Ghidra decompiler in the IDA workflow, giving users the ability to rename and highlight symbols and improved navigation and comments. GhIDA assists the reverse-engineering process by decompiling x86 and x64 PE and ELF binary functions, using either a local installation of Ghidra, or Ghidraaas ( Ghidra as a Service) — a simple docker container that exposes the Ghidra decompiler through REST APIs
Automating --> Ghidra <--: writing a script to find banned functions
--> Канал гидры на youtube: <--
Список видео на канале:
Code:
  1. 1. Ghidra quickstart & tutorial: Solving a simple crackme
  2. 2. Reverse engineering with #Ghidra: Breaking an embedded firmware encryption scheme
  3. 3. Reversing WannaCry Part 1 in Ghidra
--> Software Reverse Engineering with Ghidra (Video tutors) <--
Code:
  1.     Software Reverse Engineering with Ghidra -- Setup and installation
  2.     Software Reverse Engineering with Ghidra -- How to import files and get started
  3.     Software Reverse Engineering with Ghidra -- Creating Structures
  4.     Software Reverse Engineering with Ghidra -- Creating Arrays and Changing Function Signatures
  5.     Software Reverse Engineering with Ghidra -- C++ Classes Part 1, Part 2,  Part 3
  6.     Software Reverse Engineering with Ghidra -- C++ Classes Stack and Global Classes

--> GHIDRA | Reverse Engineering a PWN Challenge <--

--> Модернизация GHIDRA. Загрузчик для ромов Sega Mega Drive <--
--> Хакер - Ghidra vs crackme. Обкатываем конкурента IDA Pro на примере решения хитрой крэкми с VM <--
--> Reverse Engineering Gootkit with Ghidra Part I <--
--> A few Ghidra tips for IDA users, part 0 - automatic comments for API call parameter <--
--> Implementing a New CPU Architectures <--
--> Toshiba MeP-c4 for Ghidra <--
Ghidra --> utilities <--for analyzing firmware

| Сообщение посчитали полезным: SReg, sefkrd, CyberGod, Vnv, Gideon Vi, cppasm, mak, v00doo, Rio, Orlyonok, sergio12, kp0m, memadm, Hugo Chaves


Ранг: 81.0 (постоянный)
Статус: Участник

Создано: 9 августа 2019 18:17 New!
Цитата · Личное сообщение · #2

Образ Docker для сборки сабжа из сорцов

| Сообщение посчитали полезным: mak



Ранг: 539.0 (!)
Статус: Участник
_Вечный_Студент_

Создано: 12 августа 2019 02:13 New!
Цитата · Личное сообщение · #3

--> Ghidra Data Type <--

What is this?

.gdt files are data type archives.
They contain data type to symbol correlation data.
When applied to e.g. imported functions, the functions will be assigned the correct signatures via these files.

How to use?
Code:
  1. 1.Download the .gdt files.
  2. 2.Open the Data Type Manager in Ghidra
  3. 3.Open File Archive... and select an appropriate file
  4. 4.On the imported file right click and select Apply Function Data Types


Ранг: 539.0 (!)
Статус: Участник
_Вечный_Студент_

Создано: 13 августа 2019 22:26 · Поправил: plutos New!
Цитата · Личное сообщение · #4

Восемь видео уроков по Гидре, в будущем будут добавляться новые (вероятно).

--> Software Reverse Engineering with Ghidra<--

Code:
  1. Software Reverse Engineering with Ghidra -- Setup and installation
  2. Software Reverse Engineering with Ghidra -- How to import files and get started
  3. Software Reverse Engineering with Ghidra -- Creating Structures
  4. Software Reverse Engineering with Ghidra -- Creating Arrays and Changing Function Signatures
  5. Software Reverse Engineering with Ghidra -- C++ Classes Part 1, Part 2,  Part 3
  6. Software Reverse Engineering with Ghidra -- C++ Classes Stack and Global Classes

| Сообщение посчитали полезным: DimitarSerg, mak, bartolomeo



Ранг: 539.0 (!)
Статус: Участник
_Вечный_Студент_

Создано: 27 августа 2019 06:53 · Поправил: plutos New!
Цитата · Личное сообщение · #5

--> GhidraX64Dbg <--

Extract annotations from Ghidra into an X32/X64 dbg database
Extension containing a Ghidra script to export annotations from Ghidra to an X32/X64 database.

| Сообщение посчитали полезным: mak



Ранг: 539.0 (!)
Статус: Участник
_Вечный_Студент_

Создано: 6 сентября 2019 05:30 New!
Цитата · Личное сообщение · #6

AUTOMATING --> GHIDRA <--: WRITING A SCRIPT TO FIND BANNED FUNCTIONS

Ранг: 388.9 (мудрец)
Статус: Участник

Создано: 6 сентября 2019 08:49 New!
Цитата · Личное сообщение · #7

Cisco Talos is releasing two new tools for IDA Pro: --> Ghidraaas <-- and --> GhIDA <--.

GhIDA is an IDA Pro plugin that integrates the Ghidra decompiler in the IDA workflow, giving users the ability to rename and highlight symbols and improved navigation and comments. GhIDA assists the reverse-engineering process by decompiling x86 and x64 PE and ELF binary functions, using either a local installation of Ghidra, or Ghidraaas ( Ghidra as a Service) — a simple docker container that exposes the Ghidra decompiler through REST APIs.


Ранг: 539.0 (!)
Статус: Участник
_Вечный_Студент_

Создано: 8 сентября 2019 03:34 · Поправил: plutos New!
Цитата · Личное сообщение · #8

--> r2ghidra-dec <--
Deep ghidra decompiler integration for radare2

Code:
  1. This is an integration of the Ghidra decompiler for radare2. 
  2. It is solely based on the decompiler part of Ghidra, which is written entirely in C++, 
  3. so Ghidra itself is not required at all and the plugin can be built self-contained.


Ранг: 539.0 (!)
Статус: Участник
_Вечный_Студент_

Создано: 18 сентября 2019 06:49 New!
Цитата · Личное сообщение · #9

SVD-Loader for Ghidra: Simplifying bare-metal ARM reverse engineering

When reverse-engineering bare-metal ARM firmwares often a lot of time is spent annotating the memory-mapped peripherals, to understand how the code interacts with the chip features. Creating these peripherals by hand is significant work: Reading the datasheets and creating all the different memory regions, structures and memory registers will take a long time.

SVD-Loader for Ghidra automates the entire generation of peripheral structs and memory maps for over 650 different microcontrollers: By parsing so-called SVD files (CMSIS System View Description) SVD-Loader is able to automatically annotate all peripherals of the controller, simplifying reverse-engineering of ARM firmwares significantly.

on --> GITHUB <--


Ранг: 227.8 (наставник)
Статус: Участник

Создано: 24 сентября 2019 16:17 · Поправил: f13nd New!
Цитата · Личное сообщение · #10

Ghidra v9.1 без предупреждения на гх вышла. Ах если бы у иды в каждой минор версии по 6 архитектур добавляли
Code:
  1. Languages. Implemented Intel MCS-96 processor module. (GT-2350)
  2. Languages. Added Tricore processor specification. (GT-3041, Issue #567)
  3. Languages. Added HCS12X processor specification. (GT-3049)
  4. Languages. Added HCS05 and HCS08 sleigh processor specifications. (GT-3050)
  5. Languages. Added SH4 sleigh processor specification. (GT-3051, Issue #37)
  6. Languages. Added MCS-48 processor specification. (GT-3058, Issue #638)

--> Link <--

| Сообщение посчитали полезным: plutos, sergeu


Ранг: 388.9 (мудрец)
Статус: Участник

Создано: 24 сентября 2019 17:56 · Поправил: BfoX New!
Цитата · Личное сообщение · #11

--> БЕТА 9.1 гидры <--

| Сообщение посчитали полезным: plutos



Ранг: 539.0 (!)
Статус: Участник
_Вечный_Студент_

Создано: 25 сентября 2019 07:52 New!
Цитата · Личное сообщение · #12

DimitarSerg пишет:
--> Хакер - Ghidra vs crackme. Обкатываем конкурента IDA Pro на примере решения хитрой крэкми с VM <--


По этой ссылке расположена статья, в которой рассматривается crackme и дается на него ссылка:
"Скачать крэкми можно с сайта MalwareTech, пароль к архиву — тоже MalwareTech."

Так ссылка на сайт MalwareTech может временно, может навсегда померла. Кто-нибудь успел качнуть и поделится?


Ранг: 520.5 (!)
Статус: Участник
Победитель турнира 2010

Создано: 25 сентября 2019 10:42 New!
Цитата · Личное сообщение · #13

plutos пишет:
Кто-нибудь успел качнуть и поделится?


По ссылке в статье vm1.zip
На том ресурсе есть одноименный https://www.malwaretech.com/vm1 с другой ссылкой на архив на гитхабе
https://github.com/MalwareTech/Beginner-Reversing-Challenges/raw/master/vm1.zip

Возможно это одно и тоже.

| Сообщение посчитали полезным: plutos


Ранг: 18.5 (новичок)
Статус: Участник

Создано: 25 сентября 2019 12:29 New!
Цитата · Личное сообщение · #14

подскажите, названия локальных переменных гидра уже научилась подтягивать из pdb?


Ранг: 227.8 (наставник)
Статус: Участник

Создано: 25 сентября 2019 13:31 New!
Цитата · Личное сообщение · #15

soft пишет:
подскажите, названия локальных переменных гидра уже научилась подтягивать из pdb?

\ghidra_9.1\docs\README_PDB.html
Code:
  1. The native PDB parser application has been built with Microsoft Visual Studio 2017 using the 8.1 SDK to allow for possible use under Windows 7, 8.and 10. For this application to execute properly the following prerequisites must be properly installed:
  2. - Microsoft Visual C++ Redistributable for Visual Studio 2017 with its' prerequisite updates, and
  3. - DIA SDK runtime support.

?


Ранг: 228.9 (наставник)
Статус: Участник
radical

Создано: 26 сентября 2019 20:45 New!
Цитата · Личное сообщение · #16

Обновил шапку тему, добавил ссылок из темы.


Ранг: 227.8 (наставник)
Статус: Участник

Создано: 27 сентября 2019 13:23 New!
Цитата · Личное сообщение · #17

Небольшой лайфхачик для тех, кто уже успел порадоваться тому, как на новой гидре плугины, скомпиленные под 9.0.х, перестали работать. Обратите внимание на класс GhidraScript: он компилится единожды (после любого изменения в тексте) только средствами jdk (без сервера гидры как в GhidraDev и без gradle'а), может нарегать всего того же, что регал бы GhidraPlugin (DockingAction, ComponentProvider, даже KeyEventDispatcher - что угодно) и это не будет уничтожено по завершению скрипта. Единственный минус - приходится при каждом запуске гидры кликать его на панели. Остальное сплошные плюсы.

| Сообщение посчитали полезным: plutos



Ранг: 539.0 (!)
Статус: Участник
_Вечный_Студент_

Создано: 15 октября 2019 00:47 New!
Цитата · Личное сообщение · #18

--> Ghidra Patch Diff Correlator Project <--

This project tries to provide additional Ghidra Version Tracking Correlators suitable for patch diffing.
How to install it:

In Ghidra: File -> Install Extensions and select the ghidra_9.1-BETA_DEV_20191010_PatchDiffCorrelator.zip.

Then restart Ghidra.

| Сообщение посчитали полезным: Hugo Chaves, Lambda


Ранг: 17.3 (новичок)
Статус: Участник

Создано: 15 октября 2019 12:47 New!
Цитата · Личное сообщение · #19

Установил я Patch Diff Correlator.

Посмотрел видео: https://www.youtube.com/watch?v=8BH7ttwz5tg

И заметил, что у меня доступны не все алгоритмы. http://5cm.ru/view/i7/kb2x.png

На видео их больше. В справке нашел такую информацию:

The correlation algorithm panel lets you choose which program correlator to use. The list is dynamically populated based upon which features you have installed, so the actual list may look different than that above.

Кто-то в курсе где устанавливаются остальные алгоритмы?


Ранг: 227.8 (наставник)
Статус: Участник

Создано: 15 октября 2019 18:17 New!
Цитата · Личное сообщение · #20

Lambda, эти 3 недостающих пункта и есть то, что плагин добавляет. Перенеси папку PatchDiffCorrelator из \Ghidra\Extensions\ в \Ghidra\Features\ (не спрашивай зачем, джаст факин ду ит).

| Сообщение посчитали полезным: Lambda, plutos



Ранг: 539.0 (!)
Статус: Участник
_Вечный_Студент_

Создано: 26 октября 2019 04:21 · Поправил: plutos New!
Цитата · Личное сообщение · #21

--> SVD-Loader for Ghidra <--: Simplifying bare-metal ARM reverse engineering

Introduction

When reverse-engineering bare-metal ARM firmwares often a lot of time is spent annotating the memory-mapped peripherals, to understand how the code interacts with the chip features. Creating these peripherals by hand is significant work: Reading the datasheets and creating all the different memory regions, structures and memory registers will take a long time.

SVD-Loader for Ghidra automates the entire generation of peripheral structs and memory maps for over 650 different microcontrollers: By parsing so-called SVD files (CMSIS System View Description) SVD-Loader is able to automatically annotate all peripherals of the controller, simplifying reverse-engineering of ARM firmwares significantly.

****************************************************************

Export a binary from ghidra to emulate with unicorn

--> Ghidra <=> Unicorn <--
This is a work in progress, possibly worse than Ghidra's built in emulator and certainly full of issues.

In the future, I'd like to get Unicorn and Capstone installed within Ghidra's jython environment, but for now this script will export a pickle file from Ghidra and then a separate python3 script will import the data and run unicorn


Ранг: 539.0 (!)
Статус: Участник
_Вечный_Студент_

Создано: 30 октября 2019 06:01 New!
Цитата · Личное сообщение · #22

Ghidra C++ Class and Run Time Type Information --> Analyzer<--

Ранг: 388.9 (мудрец)
Статус: Участник

Создано: 31 октября 2019 20:25 · Поправил: BfoX New!
Цитата · Личное сообщение · #23

новая гидра Version 9.1 --> вышла <--
для RU-парней --> тут <--

| Сообщение посчитали полезным: Qbik



Ранг: 227.8 (наставник)
Статус: Участник

Создано: 27 ноября 2019 08:09 New!
Цитата · Личное сообщение · #24

Если кому-то не хватает боковых кнопок мыши для навигации (назначить в Tool options -> Key bindings их нельзя). Display script manager -> Script directories -> (добавить папку со скриптом) -> (найти скрипт в разделе Utility и поставить галку напротив него, можно забиндить клавишу для запуска). Не конфликтует с другими Tool'ами, корректно выгружается при закрытии тула. При желании можно переоформить в плугин, если лень нажимать при каждом запуске кодбраузера.

Code:
  1. //@category             Utility
  2. //@menupath             Utility
  3. //@toolbar               ledred.png
  4. import java.awt.AWTEvent;
  5. import java.awt.Container;
  6. import java.awt.Toolkit;
  7. import java.awt.event.AWTEventListener;
  8. import java.awt.event.MouseEvent;
  9. import ghidra.app.events.CloseProgramPluginEvent;
  10. import ghidra.app.script.GhidraScript;
  11. import ghidra.app.services.CodeViewerService;
  12. import ghidra.app.services.GoToService;
  13. import ghidra.app.services.NavigationHistoryService;
  14. import ghidra.app.util.viewer.listingpanel.ListingPanel;
  15. import ghidra.framework.model.ToolListener;
  16. import ghidra.framework.plugintool.PluginEvent;
  17. import ghidra.framework.plugintool.PluginTool;
  18. import ghidra.program.model.listing.Program;
  19. public class MouseNavigationButtons extends GhidraScript {
  20.          @Override protected void run() throws Exception {
  21.                  state.getTool().addToolListener(new MouseEventListener());
  22.          }
  23.          private class MouseEventListener implements ToolListener{
  24.                  private PluginTool pluginTool=state.getTool();
  25.                  private Program program=pluginTool.getService(CodeViewerService.class).getCurrentLocation().getProgram();
  26.                  private NavigationHistoryService navigationHistoryService=pluginTool.getService(NavigationHistoryService.class);
  27.                  private GoToService goToService=pluginTool.getService(GoToService.class);
  28.                  private AWTEventListener awteEventListener=new AWTEventListener(){
  29.                         @Override public void eventDispatched(AWTEvent event) {
  30.                               if (event instanceof MouseEvent&&event.getID()==MouseEvent.MOUSE_PRESSED) {
  31.                                    Program mouseEventProgram=null;
  32.                                    Container parent=((MouseEvent)event).getComponent().getParent();
  33.                                    while (parent!=null) {
  34.                                        if (parent instanceof ListingPanel) {
  35.                                           mouseEventProgram=((ListingPanel)parent).getProgram();
  36.                                           break;
  37.                                        }
  38.                                        parent=parent.getParent();
  39.                                    }
  40.                                    if (program.equals(mouseEventProgram)) {
  41.                                        switch (((MouseEvent)event).getButton()) {
  42.                                           case 4:{
  43.                                             navigationHistoryService.previous(goToService.getDefaultNavigatable());
  44.                                             break;
  45.                                           }
  46.                                           case 5:{
  47.                                             navigationHistoryService.next(goToService.getDefaultNavigatable());
  48.                                             break;
  49.                                           }
  50.                                        }
  51.                                    }
  52.                               }
  53.                         }
  54.                  };
  55.                  MouseEventListener(){
  56.                         Toolkit.getDefaultToolkit().addAWTEventListener(awteEventListener,AWTEvent.MOUSE_EVENT_MASK);
  57.                  }
  58.                  @Override public void processToolEvent(PluginEvent toolEvent) {
  59.                         if (toolEvent instanceof CloseProgramPluginEvent) {
  60.                               Toolkit.getDefaultToolkit().removeAWTEventListener(awteEventListener);
  61.                         }
  62.                  }
  63.          }
  64. }

| Сообщение посчитали полезным: sefkrd, mak

<< . 1 . 2 . 3 . 4 . 5 . 6 .
 eXeL@B —› Софт, инструменты —› GHIDRA software reverse engineering (SRE) suite of tools

Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS