# 逆向神器:Ghidra简介及使用方法

已于 2023-07-16 21:24:08 修改
阅读量1.9k 收藏
点赞数
分类专栏: ctf jfctf reverse 文章标签: 数据库 网络安全 工具软件 CTF
于 2023-07-16 21:21:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47210241/article/details/131755261
版权
ctf 同时被 3 个专栏收录
23 篇文章 1 订阅
订阅专栏
reverse
5 篇文章 0 订阅
订阅专栏
jfctf
1 篇文章 0 订阅
订阅专栏

逆向神器:Ghidra简介及使用方法

image-20230709181455065

https://github.com/NationalSecurityAgency/ghidra

jdk

https://adoptium.net/zh-CN/temurin/releases/

 binwalk '/home/giantbranch/Desktop/RE_Cirno.jpg' 

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             JPEG image data, JFIF standard 1.01
10764         0x2A0C          Zip archive data, at least v2.0 to extract, compressed size: 35016, uncompressed size: 172091, name: re.exe
45904         0xB350          End of Zip archive


binwalk -Me '/home/giantbranch/Desktop/RE_Cirno.jpg' 

Scan Time:     2023-07-09 07:35:21
Target File:   /home/giantbranch/Desktop/RE_Cirno.jpg
MD5 Checksum:  5ad8668b8bcd9ad5b9e0944063aa4d33
Signatures:    344

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             JPEG image data, JFIF standard 1.01
10764         0x2A0C          Zip archive data, at least v2.0 to extract, compressed size: 35016, uncompressed size: 172091, name: re.exe
45904         0xB350          End of Zip archive


Scan Time:     2023-07-09 07:35:21
Target File:   /home/giantbranch/_RE_Cirno.jpg.extracted/re.exe
MD5 Checksum:  6df009ab420867a9248befca5f829bb3
Signatures:    344

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             Microsoft executable, portable (PE)



giantbranch@ubuntu:~/_RE_Cirno.jpg.extracted$ binwalk '/home/giantbranch/Desktop/RE_Cirno.jpg' 

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             JPEG image data, JFIF standard 1.01
10764         0x2A0C          Zip archive data, at least v2.0 to extract, compressed size: 35016, uncompressed size: 172091, name: re.exe
45904         0xB350          End of Zip archive

giantbranch@ubuntu:~/_RE_Cirno.jpg.extracted$

image-20230716170300478

use ghidra!

image-20230716170744698

image-20230716170759303

image-20230716170849525

image-20230716171104005

image-20230716171120544

image-20230716171149550

void FUN_0040f350(void)

{
  int iVar1;
  undefined4 *puVar2;
  undefined4 local_b0 [16];
  uint local_70;
  uint local_6c;
  int local_68;
  int local_64 [24];
  
  puVar2 = local_b0;
  for (iVar1 = 0x2b; iVar1 != 0; iVar1 = iVar1 + -1) {
    *puVar2 = 0xcccccccc;
    puVar2 = puVar2 + 1;
  }
  local_64[0] = 0x73;
  local_64[1] = 0x5e;
  local_64[2] = 0x61;
  local_64[3] = 0x72;
  local_64[4] = 0x67;
  local_64[5] = 0x2f;
  local_64[6] = 0x6b;
  local_64[7] = 0x72;
  local_64[8] = 0x41;
  local_64[9] = 0x30;
  local_64[10] = 0x31;
  local_64[11] = 0x69;
  local_64[12] = 0x75;
  local_64[13] = 0x76;
  local_64[14] = 0x65;
  local_64[15] = 0x30;
  local_64[16] = 0x71;
  local_64[17] = 0x5f;
  local_64[18] = 99;
  local_64[19] = 0x2f;
  local_64[20] = 0x5c;
  local_64[21] = 0x74;
  local_64[22] = 0x5d;
  local_64[23] = 0x66;
  for (local_68 = 0; local_68 < 0x18; local_68 = local_68 + 1) {
    local_70 = local_64[local_68] + 9U ^ 9;
    local_6c = local_70;
  }
  FUN_00401150(&DAT_00422fac);
  FUN_0040f240("pause");
  local_64[23] = 0x40f478;
  __chkesp();
  return;
}

change the code!

#include<stdio.h>


void FUN_0040f350(void);


int main(void){
	FUN_0040f350();

return 0;	
	
}
void FUN_0040f350(void)

{

  int local_70;
  //int local_6c;
  int local_68;
  int local_64 [24];
  int local_64_2[24];

  local_64[0] = 0x73;
  local_64[1] = 0x5e;
  local_64[2] = 0x61;
  local_64[3] = 0x72;
  local_64[4] = 0x67;
  local_64[5] = 0x2f;
  local_64[6] = 0x6b;
  local_64[7] = 0x72;
  local_64[8] = 0x41;
  local_64[9] = 0x30;
  local_64[10] = 0x31;
  local_64[11] = 0x69;
  local_64[12] = 0x75;
  local_64[13] = 0x76;
  local_64[14] = 0x65;
  local_64[15] = 0x30;
  local_64[16] = 0x71;
  local_64[17] = 0x5f;
  local_64[18] = 99;
  local_64[19] = 0x2f;
  local_64[20] = 0x5c;
  local_64[21] = 0x74;
  local_64[22] = 0x5d;
  local_64[23] = 0x66;
  
  for (local_68 = 0; local_68 < 0x18; local_68 = local_68 + 1) {
    local_70 = (local_64[local_68] + 0x9) ^ 0x9;
    //local_6c = local_70;
    local_64_2[local_68]=local_70;
    printf("%c",local_70 );
    
  }
  //cout>>endl;
  printf("\n");
  for (local_68 = 23; local_68 > -1; local_68 = local_68 - 1) {
    //local_70 = (local_64[local_68] + 0x9) ^ 0x9;
    //local_6c = local_70;
    
    printf("%c",local_64_2[local_68] );
    
  }
  
  
  //return 0;
}

image-20230716175847565

image-20230716175720693

fotl1eas0gvw{30Cr}1yrcnu

flag{C1rno1sv3rycute0w0}

some files!
涉及的实例
https://download.csdn.net/download/m0_47210241/88053587

32进制
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Ghidra逆向工具入门与应用
白马负金羁
09-20 1万+
逆向工程中涉及到多种多样的工具(例如IDA Pro,Angr等),Ghidra是由美国国家安全局(NSA,National Security Agency)的研究理事会为 NSA 的网络安全任务开发的软件逆向工程(SRE)框架,它有助于分析恶意代码和病毒等恶意软件,并可以让网络安全专业人员更好地了解其网络和系统中的潜在漏洞
# 逆向神器:Ghidra简介使用方法![image-20230709181455065](https://image-z
07-16
# 逆向神器:Ghidra简介使用方法 ![image-20230709181455065](https://image-z
一款强大的逆向分析工具-Ghidra
Python_paipai的博客
04-03 685
功能包括反汇编,汇编,反编译,绘图和脚本,以及数百个其他功能。和 IDA 一样,Ghidra支持各种处理器指令集和可执行格式,用户还可以使用公开的API开发自己的Ghidra插件和脚本。不同的是,IDA是收费的,而Ghidra是免费开源的。5.按g键可以去往我们想要的地址,例如00102004,可以看到中间是反汇编窗口,右边是伪代码,左边是区段,函数表。2.Ghidra是按项目进行管理的,使用者需要首先创建一个项目,取名test。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
Ghidra入坑指北
Armey的博客
04-11 1151
Ghidra入坑系列
探索代码逆向工程的新工具:Ghidra 脚本库
gitblog_00002的博客
04-19 463
探索代码逆向工程的新工具:Ghidra 脚本库 项目地址:https://gitcode.com/grayhatacademy/ghidra_scripts 项目简介 Ghidra 是美国国家安全局(NSA)开源的一款高级软件逆向工程(SRE)套件。而GitCode上的Ghidra Scripts仓库则是一个社区贡献的资源集合,其中包含了各种用于增强和自动化Ghidra功能的脚本。 技术分析 Gh...
Ghidra 工具的安装
I_AM_MD的博客
01-10 1472
Ghidra(发音为gee-druh)是由美国国家安全局(NSA)开发的免费开源逆向工程工具。这些二进制文件于 2019 年 3 月在 RSA 会议上发布;一个月后,源代码发布在 GitHub 上。Ghidra 被许多安全研究人员视为 IDA Pro 的竞争对手。该软件是使用 Java 语言编写的,使用 GUI 的 Swing 框架。反编译器组件是用 C++ 编写的,因此可以独立形式使用
NSA开源逆向工具Ghidra入门使用教程
勤学如春起之苗,不见其增,日有所长! 辍学如磨刀之石,不见其损,日有所亏!
11-02 9532
NSA开源逆向工具Ghidra入门使用教程 安全运营奇安信威胁情报中心2019-03-07 Ghidra具有反编译功能,查看、定位反编译后的代码相较于IDA有优势。不过在使用过程中发现其处理某些混淆后代码的能力还比较欠缺,在一些界面功能上也还有较大的差距。 背景 昨天,在刚刚举办的RSA大会上,NSA发布了一款功能强大、免费的开源逆向分析工具:Ghidra。该反汇编工具类似于我们常用的IDA,不过其基于JAVA开发,是一款适用于Windows、Mac和Linux的跨平台反汇编工具,用户还可以使用..
ToBeWritten之Ghidra 使用教程
橙留香Park的博客
04-04 238
太多的企业试图在不了解他们的环境的情况下,跳入威胁狩猎的深渊(这是一个追逐松鼠和兔子,而且收效甚微的方法)。威胁狩猎最终是在一个环境中寻找未知因素的做法,因此,了解什么是 “正常业务” 与 “可疑”、甚至 “恶意” 相比是至关重要的为了理解环境,请确保你能获得尽可能多的信息,包括网络图、以前的事件报告,以及能得到的任何其他文件,并确保你拥有网络和终端层面的日志,以支持你的狩猎。
Ghidra逆向分析工具使用与实战
Ba1_Ma0的博客
05-03 7486
简介 Ghidra 是由美国国家安全局研究局创建和维护的软件逆向工程 (SRE) 框架 。该框架包括一套功能齐全的高端软件分析工具,使用户能够在包括 Windows、macOS 和 Linux 在内的各种平台上分析编译代码。功能包括反汇编、汇编、反编译、绘图和脚本,以及数百个其他功能。Ghidra 支持多种处理器指令集和可执行格式,并且可以在用户交互和自动化模式下运行。用户还可以使用 Java 或 Python 开发自己的 Ghidra 扩展组件和/或脚本。 下载地址: https://github.com
Ghidra
folkhd的博客
03-23 372
Ghidra is a software reverse engineering (SRE) suite of tools developed by NSA’s Research Directorate in support of the Cybersecurity mission. Ghidra is now available on the official website: https://...
恶意软件逆向工程:Ghidra 入门 -第三部分-分析 WannaCry 勒索软件
YJ_12340的博客
04-19 1300
逆向工程是最受欢迎和最有价值的网络安全/信息安全技能之一。但很少有人能将自己的技能水平发展到精通这一备受追捧的技能。Ghidra是美国间谍机构NSA提供的一种相对较新且免费的逆向工程工具。WannaCry。它感染了全球30多万台电脑,如果不是马库斯-赫钦斯(Marcus Hutchens,又名MalwareTech)的工作和技能,可能会造成巨大的破坏。获得了该恶意软件的样本,并立即开始检查其代码。在其中,他发现了通常被称为killswitch的东西。
gotools:Ghidra插件可帮助反转Golang二进制文件
04-30
前往Ghidra的外挂程式 插件可帮助使用Ghidra逆转Golang二进制文件。 这是一个非常早期的阶段,目前仅处理linux / x86_64二进制文件。 安装 适用于您的Ghidra版本的版本 将ZIP复制到$GHIDRA_DIR/Extensions/Ghidra/ 启动Ghidra,依次选择“ File > Install Extensions ,然后选中gotools旁边的框 重新启动Ghidra 用法 导入时,选择语言x86:LE:64:golang:default 特征 恢复功能名称 恢复参数数量和返回类型 开发者 代码格式为 clang-format -i -style=Google src/main/java/gotools/*.java 参考
Ghidra的二进制代码覆盖可视化插件
08-08
Ghidra的二进制代码覆盖可视化插件
ghidra_scripts:Ghidra软件逆向工程套件的脚本
02-21
ghidra_scripts Ghidra软件逆向工程套件的脚本。安装在Ghidra脚本管理器中,单击工具栏中的“脚本目录”图标,然后将检出的存储库添加为路径。 该集合中的脚本将显示在“ Ghidra Ninja”类别中。binwalk.py 在当前...
BinDiffHelper:Ghidra Extension集成BinDiff进行功能匹配
03-20
BinDiffHelper Ghidra扩展程序,在您的Ghidra项目上使用BinDiff查找匹配的功能并自动重命名(支持BinDiff 6)。查阅以了解其工作原理以及与功能/基本块的匹配方式。但是,有了此扩展,BinDiff可以在Ghidra中自动执行...
ghidra_scripts:Ghidra RE脚本
05-23
ghidra_headless.py可以按以下方式使用: python ghidra_headless.py <binary> [removed] [removed] [removed] <...> 例子: python ghidra_headless.py /bin/ls scripts/dump_functions.py output.txt
JNIAnalyzer:Ghidra的分析脚本可与Android NDK库一起使用
05-04
JNI分析仪此Ghidra扩展包含各种脚本,可帮助分析Android NDK... 重新启动Ghidra剧本JNIAnalyzer.java 该脚本使用反编译器提取APK文件中所有本机方法的函数签名,并将该签名应用于二进制文件中的所有匹配功能。 运行JN
恶意软件逆向工程:Ghidra 入门 -第二部分
YJ_12340的博客
04-18 594
逆向工程恶意软件是网络安全学科中最高级别的技能之一,它的薪资反映了其在网络安全生态系统中的地位的提升。它需要多年的勤奋学习才能熟练掌握。恶意软件逆向工程在整个网络安全中被用作解开恶意软件运作秘密的方法,并提供归因的线索。在第一部分时,我们简单学习和了解了Ghidra,这是由美国国家安全局(也称为 NSA)发布的开源逆向工程工具。在本教程中,我们将开始使用它来破解一些简单的软件,以帮助你熟悉这个出色的工具。
Ghidra 软件逆向工具
最新发布
m0_74025111的博客
04-23 643
Ghidra框架,该框架包括一套 功能齐全的高端软件分析工具,使用户能够分析编译后的代码。吉德拉 支持多种处理器指令集和可执行格式,并且可以在两者中运行 用户交互和自动化模式。用户还可以开发自己的 Ghidra 扩展组件 和/或使用 Java 或 Python 的脚本。Ghidra和IDA比起来最大的区别就是IDA是收费的而Ghidra是完全免费的。该工具使用的同时需要新建工程,然后在导入需要逆向的二进制文件。该工具需要Java环境的支持,请自行配置后使用。需要分析的二进制文件的基本信息基本也就出来了。
有哪些常用的软件逆向分析方法和工具
06-09
常用的软件逆向分析方法和工具主要包括以下几种: 1. 反汇编:将机器码转换成汇编语言,以便于人类理解和修改。 2. 反编译:将已编译的二进制代码还原成高级语言代码,以便于人类修改和分析。 3. 动态调试:通过在运行时监控程序的行为和状态,以便于找出程序的漏洞和错误。 4. 静态分析:在不运行程序的情况下,对程序进行分析,以便于理解程序的结构和功能。 5. 数据挖掘:通过对程序的输入和输出数据进行分析,以便于发现程序的行为和功能。 常用的软件逆向分析工具包括IDA Pro、OllyDbg、GhidraRadare2、Hopper等。这些工具可以帮助分析人员进行反汇编、反编译、动态调试、静态分析、数据挖掘等操作,以便于理解和修改程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值