开源逆向软件Ghidra初体验

最新推荐文章于 2024-06-12 09:55:16 发布
最新推荐文章于 2024-06-12 09:55:16 发布
阅读量2.1k 收藏 5
点赞数 1
分类专栏: 逆向 工具 文章标签: 反汇编 反编译
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Niatruc/article/details/106489751
版权

前言

NSA开源的逆向工具Ghidra,使用Java开发,可作为IDA的替补。下面以bugku逆向模块第一题为例,使用Ghidra分析可执行文件。

使用过程

首先新建项目,并导入这道题的文件baby.exe。
在这里插入图片描述

下图是导入的文件的摘要:
在这里插入图片描述
导入后,要分析的文件已在项目中显示,如下图所示。双击baby.exe,Ghidra将对其分析,然后进入代码浏览器。
在这里插入图片描述

分析前弹出一个方框,勾选分析选项:
在这里插入图片描述

在此先将这些选项的含义记录一下,其中有一些的含义尚不明:
1.激进式代码搜寻:从未定义的字节里解析出汇编代码。因为可能会解析出无意义代码,所以应慎用。
2.应用数据档案:根据程序信息应用已知数据类型档案。(?)
3.ASCII字符:搜寻出文件中合法的ASCII字符串并标出来。
4.调用约定标记:使用反编译器找出未知的调用约定。(?)
5.Call-Fixup:针对那些调用了无返回函数的函数的一个修补功能。
6.压缩填充字节:把函数间的填充字节折叠起来。
7.创建地址表:
8.数据引用:分析数据之间的相互引用。
9.反编译器的参数ID(?):使用反编译器为一个函数创建参数和局部变量。会比较耗时。分析大程序默认关闭此功能。
10.反编译器switch分析:使用反编译器为动态指令创建switch语句。
11.Demangler:尝试还原源程序中的变量的原名称及数据类型。(引用网友的说法:识别C++编译以后的函数名的过程,就叫demangle)
12.反汇编入口点:在新增内存中反汇编出入口点(?)。
13.嵌入的媒体数据:找到嵌入的媒体数据,并尝试分析其类型(如png,gif,jpeg,wav)。
14.外部入口引用:为外部入口点建立函数的定义信息。
15.函数的ID:通过哈希方法找到已知的函数。
16.函数起始点搜索:找函数的起始点。
17.代码后函数起始点搜索(?)
18.数据后函数起始点搜索(?)
19.无返回函数:在反汇编后,根据某些特征找到无返回函数。这里有个可以设置的阈值,当可判定为“无返回函数”的特征数超过设置的阈值时,即将函数标记为“无返回”。
20.无返回函数(对于已知函数):(根据已知的无返回函数的名字)通过名称来定位无返回函数,并设置“无返回”标志。
21.PDB(程序的数据库文件):自动载入PDB文件(如果有)。
22.引用:解析指令引用的数据。
23.标量操作数的引用:分析标量操作数,找到其引用地址(?)
24.共享的有返回的调用:当一个代码分支的跳转目的是另一个函数时,将其转成一个调用,接着立即返回(?)。
25.栈:为函数创建栈上变量。
26.子路径引用:为被调用的代码创建函数定义信息。
27.Windows x86 PE异常处理:在windows PE程序中,将异常处理的数据结构标记出来。
28.Windows x86 PE RTTI分析:找到并创建所有RTTI元数据以及相关的vf(visual foxpro,foxbase数据库开发软件)表。
29.Windows PE x86:这个解析器使用外部Windows函数调用参数信息来为参数添加注释。
30.WindowsResourceReference:创建对windows资源的引用。
31.X86常量引用解析器:常量引用。
32.X86中的被调用函数中的清除过程:大致意思可能是把(stdcall类型的)被调函数清除的栈上参数记录起来。

解析完成后,弹出一个方框,提示没有调试信息,没有数据结构类型信息:
在这里插入图片描述

接着便进入代码浏览器的默认界面:
在这里插入图片描述

还有其他有用的窗口没有在默认界面上,点击上方工具栏中windows即可查看这些窗口:
在这里插入图片描述
在本示例中,程序打印了一串字符。打开“预定义数据”窗口,搜索到这个字符串的定义位置,然后在反汇编面板中这个字符串的位置处点击右键,选择references -> show references to addresses,在弹出的表格中可查看引用了该数据的指令,单击跳到对应位置,找到printf调用处,并在其后找到flag。
在这里插入图片描述
在这里插入图片描述
Ghidra还提供了使用文档。鼠标点击了某个面板后,按f1可调出相关功能的说明文档:
在这里插入图片描述

与IDA对比,Ghidra显得简陋得多(有点Eclipse和IDEA相比的感觉)。目前感觉可能的亮点会在它的脚本管理器的200多个自带脚本中。这些脚本使用Java或Python编写,用Java写的都是继承ghidra.app.script.GhidraScript类,然后实现run方法,而用Python时调用模块的方法就行了,编写起来方便得多,还可以用Ghidra自带的Python交互界面单句执行,方便调试。找个时间再整理下这些脚本的功能。
在这里插入图片描述
还有一个相比IDA的优点,就是Ghidra具有撤销操作。比如,我用IDA的时候,在反编译的伪代码里修改数据类型,有时改错了,撤销不了,手动改回来又会报错can not change the variable type。而Ghidra可以ctrl+z,可以反悔的呀。
在这里插入图片描述
在这里插入图片描述

记录一些重要功能(不定时更新)

按键G:跳转到某地址

Niatruc
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ghidra2dwarf::dragon:将ghidra反编译的代码导出到ELF二进制文件中的小节
05-16
Ghidra2矮人 灵感来源: 欢迎捐款,如果有任何问题,请随时提出问题。 Ghidra2Dwarf是一个ghidra插件,它允许将信息(例如函数,反编译的代码,类型)从ghidra导出到ELF二进制文件中的dwarf部分。 更具体地说,它将所有反编译函数导出到名为${program}_dbg.c的源文件中,并创建一个名为${program}_dbg的ELF二进制文件,可用于进行源代码级调试。 例子: 现在可以在gdb中使用: list <function>以显示函数的源代码。 n转到第一步源代码行指令。 ni可以执行一个汇编指令。 p variable以打印变量的值。 安装 解压缩。 在脚本管理器->脚本目录中,添加提取的目录: 跑步 在脚本管理器中运行ghidra2dwarf.py : 无头模式 此模式仅适用于目前的ghidra 9.1.2 Linux 如果
Ghidra入坑指北
Armey的博客
04-11 1401
Ghidra入坑系列
使用Pyhidra:链接Ghidra的Python力量
最新发布
gitblog_00027的博客
06-12 403
使用Pyhidra:链接Ghidra的Python力量 项目地址:https://gitcode.com/dod-cyber-crime-center/pyhidra 项目介绍 Pyhidra是一个创新性的Python库,它为开发者提供了直接访问Ghidra API的能力,无需离开熟悉的CPython解释器。借助jpype,这个库使得在Python环境中进行二进制分析和逆向工程变得前所未有的简单。...
Ghidra
qq_47301716的博客
06-06 1810
和 IDA 一样,Ghidra支持各种处理器指令集和可执行格式,用户还可以使用公开的API开发自己的Ghidra插件和脚本。不同的是,IDA是收费的,而Ghidra是免费开源的。5.在目标文件名上右击->Open with ->CodeBrowser,直接 Analyze 即可,按g键可以去往我们想要的地址,例如00401000,可以看到中间是反汇编窗口,右边是伪代码,左边是区段,函数表。7.Ghidra还可以对数据,区段,函数进行管理,例如这里可以直接查看DOS头文件,不需要借助其他工具。
# 逆向神器:Ghidra简介及使用方法
32bin的博客
07-16 2388
【代码】# 逆向神器:Ghidra简介及使用方法。
Ghidra逆向分析工具使用与实战
Ba1_Ma0的博客
05-03 8580
简介 Ghidra 是由美国国家安全局研究局创建和维护的软件逆向工程 (SRE) 框架 。该框架包括一套功能齐全的高端软件分析工具,使用户能够在包括 Windows、macOS 和 Linux 在内的各种平台上分析编译代码。功能包括反汇编、汇编、反编译、绘图和脚本,以及数百个其他功能。Ghidra 支持多种处理器指令集和可执行格式,并且可以在用户交互和自动化模式下运行。用户还可以使用 Java 或 Python 开发自己的 Ghidra 扩展组件和/或脚本。 下载地址: https://github.com
逆向分析工具IDA与开源工具Ghidra、Cutter对比测评
qq_20031585的博客
07-19 9657
逆向分析工具IDA、Ghidra和Cutter对比
Ghidra软件安装资源包
02-06
Ghidra 是一个高度可扩展的应用程序,用于执行软件逆向工程。Ghidra 建立在一个完全通用的应用程序框架之上。特定于应用程序的功能由称为插件的小型软件包提供,每个软件包提供一个或多个功能。本用户指南提供了有关...
Ghidra 9.0.2
04-09
Ghidra 9.0.2 是一个强大的软件逆向工程工具,由美国国家安全局(NSA)的研究理事会设计和维护,主要用于网络安全领域的任务。逆向工程是信息安全领域中的一个重要概念,它涉及到对已编译的二进制代码进行分析,以...
Ghidra10 逆向工具Windows端安装包下载
02-15
Ghidra是一款由美国国家安全局(NSA)开发的开源软件逆向工程工具,它提供了丰富的功能,帮助安全研究人员、软件开发者以及逆向工程师分析二进制代码,理解其内部工作原理,查找潜在的安全漏洞。Ghidra 10.1.2是该...
ghidra9.0 提供本地下载
03-09
ghidra是由国家安全局研究理事会创建和维护的软件逆向工程(SRE)框架。该框架包括一套功能齐全的高端软件分析工具,使用户能够在各种平台(包括Windows、MacOS和Linux)上分析编译后的代码。功能包括反汇编、汇编、...
IntelliJ Ghidra-0.3.0-IU-2021.3.1.zip
01-02
IntelliJ Ghidra-0.3.0-IU-2021.3.1.zip 是一个专门针对IntelliJ IDEA Ultimate 2021.3版本的插件包,它集成了解析和分析软件开源工具Ghidra。Ghidra是由美国国家安全局(NSA)开发的一款强大的逆向工程工具,而这...
学习笔记-Ghidra
人饭子的博客
11-02 1232
Ghidra 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 简介 Ghidra 是由美国国家安全局(NSA)研究部门开发的软件逆向工程(SRE)套件,用于支持网络安全任务。包括一套功能齐全的高端软件分析工具,使用户能够在各种平台 (Windows、Mac OS 和 Linux) 分析编译后的代码。功能包括反汇编,汇编,反编译,绘...
Linux环境编译安装Ghidra教程
一个记录空间
05-29 6241
1、前言 Ghidra是由美国国家安全局(NSA)研究部门开发的软件逆向工程(software reverse engineering,SRE)套件,用于支持网络安全任务,此软件目前已经开源,对比IDA,Ghidra有着一定的优势。 笔者前段时间研究一道加花处理的逆向CTF题目,发现此题用Ghidra进行分析可直接无视花指令问题,遂对Ghidra产生一定兴趣,由于笔者之前安装的是windows环境下的Ghidra(因为没找到Linux版的Ghidra),所以现在想试着编译安装一个Linux环境下的Ghidr
NSA开源逆向工具Ghidra入门使用教程
勤学如春起之苗,不见其增,日有所长! 辍学如磨刀之石,不见其损,日有所亏!
11-02 9915
NSA开源逆向工具Ghidra入门使用教程 安全运营奇安信威胁情报中心2019-03-07 Ghidra具有反编译功能,查看、定位反编译后的代码相较于IDA有优势。不过在使用过程中发现其处理某些混淆后代码的能力还比较欠缺,在一些界面功能上也还有较大的差距。 背景 昨天,在刚刚举办的RSA大会上,NSA发布了一款功能强大、免费的开源逆向分析工具:Ghidra。该反汇编工具类似于我们常用的IDA,不过其基于JAVA开发,是一款适用于Windows、Mac和Linux的跨平台反汇编工具,用户还可以使用..
记一次对Ghidra反编译的修复
顶峰
07-25 851
1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础(一周)
记一篇使用Ghidra反编译\调试dll的实录
Cathedra的博客
02-06 1339
当我们需要从一个无pdb无lib的程序反编译一个无任何代码只有一个dll的程序时如何入手呢。本文开始一个入手的介绍
mac 反编译工具 java_NSA开源逆向分析工具Ghidra入门使用
weixin_39605894的博客
12-02 818
背景介绍3月6日,RSA大会上,NSA发布了一款功能强大、免费的开源逆向分析工具:Ghidra。该反汇编工具类似于IDA,基于JAVA开发,是一款适用于Windows、Mac和Linux的跨平台反汇编工具,用户还可以使用Java或Python开发自己的Ghidra插件或者脚本,Ghidra在过去数年里一直被用于NSA相关的网络安全任务当中。山石网科CERT对该工具进行了详细分析,梳理了具...
恶意软件逆向工程:Ghidra 入门 -第一部分
YJ_12340的博客
04-16 675
逆向工程领域有许多优秀的工具可以使用(比如IDA Pro和OllyDbg),但现在我们有一个新的选择-Ghidra。Ghidra是由美国国家安全局(美国主要的间谍机构,负责开发Stuxnet恶意软件和EternalBlue的机构)开发的,是世界上顶级的间谍机构之一。我们第一次知道Ghidra是在2017年的维基解密Vault 7泄密事件中,它在2019年春天作为免费和开源(根据Apache许可证)软件发布。它是一个优秀的逆向工程工具,与IDA Pro不同,它是免费的!Ghidra几乎具有Ida Pro。
windows逆向工具
05-28
有很多逆向工具可以在Windows平台上使用,以下是其中一些常用的工具: 1. IDA Pro:一个功能强大的反汇编器和逆向工程平台,可以用于分析和理解二进制文件。 2. OllyDbg:一个基于Windows的调试器,可以用于分析和修改二进制文件。 3. x64dbg:一个开源的调试器,可以用于分析和修改64位Windows二进制文件。 4. Ghidra:一个由美国国家安全局开发的反汇编器和逆向工程平台,可以用于分析各种类型的二进制文件。 5. Hopper:一个反汇编器和逆向工程平台,可以用于分析和修改二进制文件。 6. Cheat Engine:一个游戏修改器和调试器,可以用于修改游戏内存和分析游戏代码。 以上是一些常用的逆向工具,但请注意,使用这些工具进行逆向工程可能会涉及到法律问题,请在法律允许的前提下使用它们。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值