一款强大的逆向分析工具-Ghidra

最新推荐文章于 2024-04-23 15:19:43 发布
最新推荐文章于 2024-04-23 15:19:43 发布
阅读量659 收藏 8
点赞数 3
分类专栏: 网络安全 黑客 程序员 文章标签: web安全 大数据 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Python_paipai/article/details/137326237
版权
程序员 同时被 3 个专栏收录
198 篇文章 0 订阅
订阅专栏
网络安全
192 篇文章 2 订阅
订阅专栏
黑客
161 篇文章 0 订阅
订阅专栏

工具介绍

Ghidra 是由美国国家安全局(NSA)研究部门开发的软件逆向工程(SRE)套件,用于支持网络安全任务。包括一套功能齐全的高端软件分析工具,使用户能够在各种平台(Windows、Mac OS和Linux)分析编译后的代码。功能包括反汇编,汇编,反编译,绘图和脚本,以及数百个其他功能。和 IDA 一样,Ghidra支持各种处理器指令集和可执行格式,用户还可以使用公开的API开发自己的Ghidra插件和脚本。不同的是,IDA是收费的,而Ghidra是免费开源的。

工具使用

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

Ghidra直接通过压缩包解压即可使用,前提是需要配置好java 环境。

https://Ghidra-sre.org  
https://github.com/NationalSecurityAgency/Ghidra

1.切换到GhidraInstallDir目录,运行GhidraRun.bat,进来之后长这样。

2.Ghidra是按项目进行管理的,使用者需要首先创建一个项目,取名test。

3.通过File->Import File->导入想要分析的文件。

4.Ghidra 在加载完成后,会显示该文件的基础信息。

点击analysis 后,选择auto analyze 自动分析程序

5.按g键可以去往我们想要的地址,例如00102004,可以看到中间是反汇编窗口,右边是伪代码,左边是区段,函数表。

6.右边伪代码还可以按图示右上角导出c代码。

为了帮助大家更好的学习网络安全,我给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂这些资料!

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

网络安全大白
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rz-ghidra:适用于rizin的深度Ghidra反编译器和雪橇拆装器集成
04-06
t=950正在安装提供了一个rz-pm软件包,该软件包可以轻松安装,如下所示: rz-pm -i rz-ghidra该软件包仅安装rizin部件。 要使用裁纸器中的rz-ghidra,请使用从Cutter 1.9开始提供的预构建发行版,该发行版捆绑了rz-...
rz-ghidra:我的Rz-Ghidra版本适用于Ghidrall
03-11
t=950正在安装提供了一个rz-pm软件包,该软件包可以轻松安装,如下所示: rz-pm -i rz-ghidra该软件包仅安装rizin部件。 要使用切割机上的rz-ghidra,请使用从Cutter 1.9开始提供的预构建版本,该发行版捆绑了rz-...
探索代码逆向工程的新工具:Ghidra 脚本库
gitblog_00002的博客
04-19 447
探索代码逆向工程的新工具:Ghidra 脚本库 项目地址:https://gitcode.com/grayhatacademy/ghidra_scripts 项目简介 Ghidra 是美国国家安全局(NSA)开源的一款高级软件逆向工程(SRE)套件。而GitCode上的Ghidra Scripts仓库则是一个社区贡献的资源集合,其中包含了各种用于增强和自动化Ghidra功能的脚本。 技术分析 Gh...
NSA开源逆向工具Ghidra入门使用教程
勤学如春起之苗,不见其增,日有所长! 辍学如磨刀之石,不见其损,日有所亏!
11-02 9454
NSA开源逆向工具Ghidra入门使用教程 安全运营奇安信威胁情报中心2019-03-07 Ghidra具有反编译功能,查看、定位反编译后的代码相较于IDA有优势。不过在使用过程中发现其处理某些混淆后代码的能力还比较欠缺,在一些界面功能上也还有较大的差距。 背景 昨天,在刚刚举办的RSA大会上,NSA发布了一款功能强大、免费的开源逆向分析工具:Ghidra。该反汇编工具类似于我们常用的IDA,不过其基于JAVA开发,是一款适用于Windows、Mac和Linux的跨平台反汇编工具,用户还可以使用..
Ghidra 软件逆向工具
最新发布
m0_74025111的博客
04-23 623
Ghidra框架,该框架包括一套 功能齐全的高端软件分析工具使用户能够分析编译后的代码。吉德拉 支持多种处理器指令集和可执行格式,并且可以在两者中运行 用户交互和自动化模式。用户还可以开发自己的 Ghidra 扩展组件 和/或使用 Java 或 Python 的脚本。Ghidra和IDA比起来最大的区别就是IDA是收费的而Ghidra是完全免费的。该工具使用的同时需要新建工程,然后在导入需要逆向的二进制文件。该工具需要Java环境的支持,请自行配置后使用。需要分析的二进制文件的基本信息基本也就出来了。
Ghidra逆向分析工具使用与实战
Ba1_Ma0的博客
05-03 7286
简介 Ghidra 是由美国国家安全局研究局创建和维护的软件逆向工程 (SRE) 框架 。该框架包括一套功能齐全的高端软件分析工具使用户能够在包括 Windows、macOS 和 Linux 在内的各种平台上分析编译代码。功能包括反汇编、汇编、反编译、绘图和脚本,以及数百个其他功能。Ghidra 支持多种处理器指令集和可执行格式,并且可以在用户交互和自动化模式下运行。用户还可以使用 Java 或 Python 开发自己的 Ghidra 扩展组件和/或脚本。 下载地址: https://github.com
记一篇使用Ghidra反编译\调试dll的实录
Cathedra的博客
02-06 1162
当我们需要从一个无pdb无lib的程序反编译一个无任何代码只有一个dll的程序时如何入手呢。本文开始一个入手的介绍
C/C++程序逆向-IDA切换到Ghidra说明
qq_20031585的博客
04-18 2758
鉴于IDA正版收费的问题,近期要转Ghidra,本文介绍Ghidra的安装,使用,和IDA的对比,感觉更好用了。
analyze-community-ghidra-plugin:适用于https的Ghidra插件
05-09
$ git clone https://github.com/intezer/analyze-community-ghidra-plugin.git将您的API密钥添加到环境变量:使用您的API密钥值创建一个名为INTEZER_API_KEY的新变量。 在Ghidra中:将仓库的路径添加到Ghidra用于...
awesome-ghidra:精选的Ghidra材料清单
05-01
该框架包括一套功能齐全的高端软件分析工具使用户能够在包括Windows,macOS和Linux在内的各种平台上分析编译后的代码。 功能包括反汇编,汇编,反编译,制图和脚本编写,以及数百种其他功能。 Ghidra支持多种...
gotools:Ghidra插件可帮助反转Golang二进制文件
04-30
前往Ghidra的外挂程式 插件可帮助使用Ghidra逆转Golang二进制文件。 这是一个非常早期的阶段,目前仅处理linux / x86_64二进制文件。 安装 适用于您的Ghidra版本的版本 将ZIP复制到$GHIDRA_DIR/Extensions/Ghidra/ 启动Ghidra,依次选择“ File > Install Extensions ,然后选中gotools旁边的框 重新启动Ghidra 用法 导入时,选择语言x86:LE:64:golang:default 特征 恢复功能名称 恢复参数数量和返回类型 开发者 代码格式为 clang-format -i -style=Google src/main/java/gotools/*.java 参考
ghidra_nodejs:GHIDRA插件,用于解析,反汇编和反编译NodeJS Bytenode(JSC)二进制文件
03-05
ghidra_nodejs 描述 GHIDRA插件,用于解析,反汇编和反编译NodeJS Bytenode(JSC)二进制文件。 支持的NodeJS版本: v8.16.0(x64)(V8版本:6.2.414.77) v8.16.0(x86)(V8版本:6.2.414.77) 制作说明 克隆仓库 使用安装的GhidraDev插件将仓库导入Eclipse 将Ghidra链接到您的Ghidra的安装(项目上下文菜单中的选项) 使用项目的上下文菜单导出和构建插件。 Eclipse将使用插件生成一个生成的.zip归档文件。 在Ghidra中:File-> Install Extensions ...->按绿色(Plus / +)按钮,然后选择以前生成的.zip存档进行安装。 按“确定”,然后按“重新启动Ghidra”。 拖放jsc文件。
Reverse_Ctf_Writeups:主要使用Ghidra API来自动执行任务
03-21
他们很多 1-在Cyber​​talents网站链接上的ctf:在像描述一样查看反汇编之后, ://cybertalents.com/challenges/malware/they-are-many很多功能具有相同的结构,相同的大小和相同的功能事物。使用ghidra API提取预定义的数据并模拟该函数的指令以获取该标志。 功能结构: 精灵里面的exe 2个一个x64 elf文件有很多检查每个角色的块,使用ghidra api提取检查中使用的所有数据。块的结构: 我们发现输入是一个以base64编码的PE文件,在解码后我们发现它基本上做同样的事情,但是使用ghidra反编译器,块的数量比第一个少得多,我复制了所有检查并进行了处理干净得多。 你可以看到我吗 3-链接: ://cybertalents.com/challenges/malware/can-you-see-me 吉尔乔伊
ghidra-pyi-generator:为整个Ghidra API生成`.pyi`类型的存根
05-04
Ghidra .pyi生成器 Ghidra .pyi生成器为整个Ghidra API生成.pyi。 这些存根文件可以稍后在PyCharm中使用,以增强开发经验。 您可以使用发布的存根,也可以按照以下说明自行生成它们。 使用存根 安装 该版本包含,可以使用pip install ghidra-stubs*.whl将该简单安装到可以使用实际ghidra模块的环境中。 然后,任何符合条件的工具都将使用存根包进行类型分析。 如果要手动将存根文件添加到PyCharm,请按照“ 。 用法 安装完成后,您需要做的就是照常导入Ghidra模块,其余的工作将由PyCharm完成。 import ghidra 要获得对Ghidra内置插件的支持,您还需要导入它们。 这些提示的类型提示存在于生成的ghidra_builtins.pyi存根中。 由于它不是真正的Python模块,因此在运行时导入将失败。
GhidraSnippets:Ghidra 的程序和反编译器 API 的 Python 片段
05-29
吉德拉片段 Ghidra Snippets是一组 Python 示例,展示了如何使用 API。 这里涵盖了三个主要 API, 、 和其他所有东西(“Complex API”)。 Flat API 是成熟的 Complex Ghidra API 的“简单”版本。 对于任何想要开发 Ghidra 模块和/或脚本的人来说,它们都是一个很好的起点。 然而,在某些时候,您需要接触到 Flat API 之外的东西才能做真正有趣的事情。 这里的一切都只是为了完成工作的混搭。 完成每项任务的方法不止一种,因此请确保在复制/粘贴之前先问问自己这些片段是否真的是您所需要的。 最新版本和 API 文档 正在寻找 Ghidra 的最新版本? 。 正在寻找最新的 API 文档? 在 Ghidra 的 UI 中,选择Help -> Ghidra API Help来解压文档并查看它们。 只是想要一个快速的在线
SVD-Loader-Ghidra
05-09
用于Ghidra的SVD加载器安装只需将检出的Git存储库添加到您的Ghidra-Scripts搜索路径即可。用法可以在Ghidra的脚本管理器中的leveldown security文件夹中找到该脚本。 获取SVD学分cmsis-svd代码是Posborne的的,可...
Ghidra使用之Options页面功能介绍
muzico425的博客
04-18 602
==Apply Processor Defined Lables==在Ghidra中,apply processor defined labels功能可以为汇编代码中的地址和数据自动添加注释,这可以大大提高反汇编代码的可读性。使用步骤如下:打开您要反汇编的文件,进入Code Browser窗口。点击Edit菜单,选择Apply Processor Defined Labels。在弹出窗口中,选择要...
Ghidra Java API怎么得到Low level Function的所有instruction
qysh123的专栏
03-26 607
这是一个很细节的问题,但还是想记录一下。 我们都知道,Ghidra有high level IR和low level IR的区别,high level的function是很容易获得所有的PCode Operation的,其文档为: HighFunction 可以通过getPcodeOps获得,但是low level function中并没有相应的方法: Function 那应该怎么办呢?参考了一下师妹的代码,原来可以通过:Program的getListing()方法获得一个Listing对象,然后再
逆向protobuf
09-11
逆向protobuf是指通过分析已有的序列化代码和.proto文件,来还原出protobuf协议的结构和字段信息的过程。逆向protobuf的目的是为了理解和解析这些结构,以便在逆向工程或其他领域中使用它们。 在逆向protobuf的过程中,可以通过查找url或使用hook的方式来定位.proto文件,然后对其进行分析。通过分析.proto文件,可以还原出protobuf协议中定义的消息结构、字段类型和字段名称等信息。 逆向protobuf的重要性在于可以帮助我们理解和解析使用protobuf协议进行通信的应用程序的数据格式。通过逆向protobuf,我们可以了解到应用程序中使用的消息结构和字段含义,从而可以更好地理解和分析应用程序的工作原理。 逆向protobuf也可以用于反向工程,例如在逆向工程中,我们可以通过逆向protobuf还原出应用程序的数据结构,从而更好地理解应用程序的逻辑和功能。 总而言之,逆向protobuf是一种通过分析序列化代码和.proto文件来还原出protobuf协议的结构和字段信息的过程,它可以帮助我们理解和解析应用程序的数据格式,从而更好地理解和分析应用程序的工作原理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值