记一次对Ghidra反编译的修复

最新推荐文章于 2024-06-24 09:38:43 发布
最新推荐文章于 2024-06-24 09:38:43 发布
阅读量904 收藏 3
点赞数 1
文章标签: web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2204/article/details/131917588
版权
本文介绍了作者在使用Ghidra进行逆向工程时遇到的反编译问题,特别是针对Rust程序分析时出现的异常。文章详细探讨了反编译原理,包括基础准备、控制流图获取、SSA生成等步骤,并分析了Ghidra的反编译引擎工作流程。作者通过调试和分析,发现问题出在栈变量恢复过程中对`and`指令处理的遗漏。最终,作者添加了一个新规则来处理这种情况,有效修复了问题。文章还讨论了IDA在相同情况下的表现,指出Ghidra仍有待改进,同时分享了作者的修复代码和学习网络安全的建议。
摘要由CSDN通过智能技术生成

前言

Ghidra是NSA在2019年开源的逆向工具,可以说从开源发布开始,就基本成了开源界唯一可以与 IDA
竞争的存在,其它的工具多少总是欠点意思。不过从实际情况来看,虽然
Ghidra一直在积极维护,但是现在的Bug情况跟IDA相比,也还是差点意思。不过,开源的好处,就是可以自己研究自己修复,在我这次参加Defcon资格赛过程中碰到问题的时候,我决定,自力更生,于是有了下面的经历。

##问题

最开始发现问题是在逆Rust的时候,IDA 在逆Rust的时候一向有点问题,这次更是出现了分析出来 500
多个参数的情况,实在让人有点难受。于是我觉得尝试下ghidra ,但是打开发现,虽然没有了 500 多个参数,但是情况也好不了太多,出现了奇妙的情况:

相比之下IDA就没有这种奇怪的东西:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cSGA1AYd-1690267282860)(https://image.3001.net/images/20210620/1624195056_60cf3ff06e3e25f7d0662.png!small)]

我找了半天,当时也没能发现 0x178a97 、0x178aa9
之类的玩意儿是从哪里来的,但是这肯定是个比较严重的问题,因为这基本让反编译没法看了。比赛期间没有办法,只能继续用IDA了。但是赛后这个问题是肯定要处理处理的。

##反编译的原理

反编译基本都可分为这么几步:

基础准备

基础准备:一般就是由反汇编器 来完成的几个步骤,包括:

1. 加载镜像:将文件中的代码、数据分析出来,从而知道内存中某个地址对应文件中的什么数据。

2.
代码识别+反汇编+代码提升(lifting):猜测哪些地方应该是机器代码,然后对机器代码进行解码得到汇编语言,同时还可以将汇编语言进行代码提升,也就是liting,得到中间语言
。之后的分析一般就发生在中间语言上,这样可以避免直接对不同架构的汇编代码进行处理,从而可以方便地支持多架构。

控制流图获取

控制流图获取:这部分开始就是反编译器的工作了(一般来说是)。首先就是需要进行控制流图的获取,控制流图是一种图结构,图上的每一个节点叫做一个基本块
,也就是会连续执行的指令。例如以下的汇编程序:mov eax, 1add ebx, eax ; 假设 ebx 是外部的输入cmp ebx, 0x10jne label1mov ebx, 0x20jmp endlabel1:mov ebx, 0x30end:xor eax, eax这一段程序如果画成控制流图:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XTbb28Qk-1690267282860)(https://image.3001.net/images/20210620/1624195622_60cf4226af0c03c9445f4.png!small)]

每一个基本块一旦进入就一定会执行到结尾。这样做之后,就会让分析更加方便,因为以前我们只能以一句汇编为一个单位进行分析,现在就可以一个基本块为一个单位进行分析了。另外,有了图的结构,也比较清晰的知道一个基本块之后可以走到什么分支了。最后的控制流恢复也和这个步骤息息相关。

SSA 生成

SSA,Static Single
Assignment,中文叫做静态单赋值,是说,每一个变量都只应该被赋值一次(只写入一次)。怎么做到呢?就是将变量进行改名,例如eax被写了两次,那么第一次写入,假设是
mov eax, 1 就可以表示为eax_0 = 1 ,第二次用到的eax,假设是add eax, 1 就会表示为eax_1 = eax_0 + 1
这样,一看到eax_1就知道是第二个,不会是第一个了。

但是如果出现分支,就会有一点问题,例如这样的程序:cmp ebx, 100jne L1mov eax, 1jmp endL1:mov eax, 2end:add ebx, eax

如果重新命名eax_1 = 1jmp endL1:eax_2 = 2end:ebx_1 = ? ; 这里出现了问题,应该是 eax_1 还是 eax_2?

所以在SSA里边,我们会加入一个特殊的语句,叫做phi,有时候也叫做phi-node(phi
节点),他的作用就是将分支导致的多个变量进行合并,例如上面的程序就可以被写作:if ebx_0 != 100 then jmp L1eax_1 = 1jmp endL1:eax_2 = 2end:eax_3 = phi(eax_1, eax_2)ebx_1 = eax_3

SSA的目的是让分析更加高效便捷,因为在分析的时候,你用到的变量都可以很清楚的知道是由哪一条语句进行定义的,而不需要往前挨个去找(因为只有一条语句可以定义,所以就很清楚是哪一条,就不需要全部找一遍才能确认)。

变量恢复

即,将变量进行分析恢复,这也是本次Bug的修复重点。变量分为多种可能,包括栈上的变量、寄存器里的变量等等。栈上的变量目前所使用的方法一般是找到栈指针,查看其在函数内开辟了多少空间(加、减了多大的偏移),然后对于用到这一段空间的认为是可能的变量。

类型恢复

在变量恢复之后,会进行类型恢复,也就是“猜”恢复出来的变量可能是什么类型,如果实在猜不出来,就猜一个大小,这个大小可以根据是怎么使用的来确定。例如:加载一个位于rsp

  • 0x30的 8 个字节,就会认为这个位置所对应的变量的大小是 8
    个字节。至于是指针还是整数还是浮点数,这就需要利用后续对这个变量的其他使用方式来确定了。

控制流恢复

即,将控制流图打上标记,确认控制流图所对应的程序结构,例如在上面控制流图示例中所对应的就应该是 if-else语句。

这一部分一般是通过图匹配算法来实现的,

最低0.47元/天 解锁文章
万天峰
关注
pcode-emulator:Ghidra的PCode模拟器
05-23
描述 这是Ghidra的PCode模拟器。 道歉 听着-这有点粗糙。 虽然有效! 发布时,我对文档的质量和完整性感到有些尴尬。 目前,这在Ghidra中的x64,x86和ARM体系结构上效果最佳。 添加其他架构并不难,我需要为每个架构实现初始函数调用环境,但尚未完成。 有一些尚未实现的PCode操作码-最值得注意的是float操作。 如果您需要我很抱歉,它已列在您要做的事情中。 它需要一个测试框架和文档构建。 所以,你知道,我是专业人士。 这让我很烦。 但是讨论的日子到了,因此现在就是发布此代码的时候了。 安装 从此处的源目录... mkdir "$HOME/ghidra_scripts" ln -s "$PWD" "$HOME/ghidra_scripts/ghidra_pcode_interpreter" ln -s "$PWD/pcode_interpreter.py" "$H
非泄露,NSA官方开源反汇编工具GHIDRA
cpongo011702
01-25 226
GHIDRA用Java语言编写,适用于Windows,Mac和Linux系统。近日有消息透露,美国国家安全局NSA将在3月初举行的RSA安全会议上免费发布一款逆向工程工具,该软件的名称是GHIDRA。从技术角度讲,这是一款反汇编程序,能将可执行文件分解为汇编代码再由人类进行分析。提起美国国家安全局,大部分人可能第一反应就是“永恒之蓝”,这款被The Shadow Brokers黑客组织曝光,由与其...
探秘代码解构:pypcode —— Ghidra 的 Python 化神兵利器!
最新发布
gitblog_00005的博客
06-24 462
探秘代码解构:pypcode —— Ghidra 的 Python 化神兵利器! 项目地址:https://gitcode.com/angr/pypcode 在软件安全分析和逆向工程领域,高效地解析和理解机器码是至关重要的一步。今天我们要介绍的是一把利器——pypcode,这是一个基于 Ghidra 强大的 SLEIGH 库的 Python 机器码反汇编和 IR 转换库。有了它,你可以轻松地将机器...
NSA开源逆向工具Ghidra入门使用教程
勤学如春起之苗,不见其增,日有所长! 辍学如磨刀之石,不见其损,日有所亏!
11-02 1万+
NSA开源逆向工具Ghidra入门使用教程 安全运营奇安信威胁情报中心2019-03-07 Ghidra具有反编译功能,查看、定位反编译后的代码相较于IDA有优势。不过在使用过程中发现其处理某些混淆后代码的能力还比较欠缺,在一些界面功能上也还有较大的差距。 背景 昨天,在刚刚举办的RSA大会上,NSA发布了一款功能强大、免费的开源逆向分析工具:Ghidra。该反汇编工具类似于我们常用的IDA,不过其基于JAVA开发,是一款适用于Windows、Mac和Linux的跨平台反汇编工具,用户还可以使用..
一篇使用Ghidra反编译\调试dll的实录
Cathedra的博客
02-06 1496
当我们需要从一个无pdb无lib的程序反编译一个无任何代码只有一个dll的程序时如何入手呢。本文开始一个入手的介绍
开源逆向软件Ghidra初体验
Niatruc的博客
06-02 2226
前言 NSA开源的逆向工具Ghidra,使用Java开发,可作为IDA的替补。下面以bugku逆向模块第一题为例,使用Ghidra分析可执行文件。 使用过程 首先新建项目,并导入这道题的文件baby.exe。 下图是导入的文件的摘要: 导入后,要分析的文件已在项目中显示,如下图所示。双击baby.exe,Ghidra将对其分析,然后进入代码浏览器。 分析前弹出一个方框,勾选分析选项: 在此先将这些选项的含义录一下,其中有一些的含义尚不明: 1.激进式代码搜寻:从未定义的字节里解析出汇编代码。因为可
(Raw/High) P-Code Ghidra使用的中间表示语言
随便记记笔记
03-02 2573
P-code是一种专为逆向工程而设计的寄存器传输语言。该语言通用性强,可以对不同处理器的行为进行建模,将对不同处理器的分析放入一个通用框架中,促进retargetable的分析算法和应用开发。将指令直接转换为这些操作称为raw p-code。反编译期间,p-code和varnodes被refined和关联到抽象的局部变量和源码级别的数据结构,称之为high p-code。
Ghidra10 逆向工具Windows端安装包下载
02-15
逆向工程是计算机科学的一个分支,涉及对已编译的软件进行分析,以了解其源代码级别的功能和行为。Ghidra提供了一个图形用户界面(GUI),使得这个过程更加直观和高效。它包括以下关键特性: 1. **反汇编器**:...
dll反编译.rar
01-20
反编译是将已编译的二进制代码转换回源代码的过程,尽管这个过程不总是完全可逆的,但对于理解代码行为、调试或修复问题、学习编程技巧等都非常有用。 DLL反编译工具有助于开发者查看内部函数和数据结构,尤其是在...
ghidra-11.0.3-PUBLIC-20240410.zip
05-28
1. **Ghidra核心功能**:Ghidra的核心功能包括代码分析、反编译、调试、脚本编写等。它能够将二进制代码转换成可读性强的高级语言,帮助用户理解程序的执行流程。此外,Ghidra还支持多种架构,如x86, x64, ARM, MIPS...
Android反编译工具集合
02-27
6. **GDA (Ghidra Android Decompiler)**:由美国国家安全局开发,GDA是一个强大的二进制分析平台,可用于反编译APK中的机器代码,提供高级的反汇编和反编译功能。 7. **SMALI**:SMALI是一种ASM-like的汇编语言,...
IntelliJ Ghidra-0.3.0-IU-2021.3.1.zip
01-02
无论是对恶意软件的分析,还是在软件安全测试中寻找潜在的漏洞,IntelliJ Ghidra插件都是一款强大的辅助工具,极大地扩展了IntelliJ IDEA的功能,使其在逆向工程领域更具竞争力。对于熟悉Java和IntelliJ IDEA的用户...
mac 反编译工具 java_NSA开源逆向分析工具Ghidra入门使用
weixin_39605894的博客
12-02 865
背景介绍3月6日,RSA大会上,NSA发布了一款功能强大、免费的开源逆向分析工具:Ghidra。该反汇编工具类似于IDA,基于JAVA开发,是一款适用于Windows、Mac和Linux的跨平台反汇编工具,用户还可以使用Java或Python开发自己的Ghidra插件或者脚本,Ghidra在过去数年里一直被用于NSA相关的网络安全任务当中。山石网科CERT对该工具进行了详细分析,梳理了具...
恶意软件逆向工程:Ghidra 入门 -第一部分
YJ_12340的博客
04-16 723
在逆向工程领域有许多优秀的工具可以使用(比如IDA Pro和OllyDbg),但现在我们有一个新的选择-Ghidra。Ghidra是由美国国家安全局(美国主要的间谍机构,负责开发Stuxnet恶意软件和EternalBlue的机构)开发的,是世界上顶级的间谍机构之一。我们第一次知道Ghidra是在2017年的维基解密Vault 7泄密事件中,它在2019年春天作为免费和开源(根据Apache许可证)软件发布。它是一个优秀的逆向工程工具,与IDA Pro不同,它是免费的!Ghidra几乎具有Ida Pro。
Ghidra逆向分析工具使用与实战
热门推荐
Ba1_Ma0的博客
05-03 1万+
简介 Ghidra 是由美国国家安全局研究局创建和维护的软件逆向工程 (SRE) 框架 。该框架包括一套功能齐全的高端软件分析工具,使用户能够在包括 Windows、macOS 和 Linux 在内的各种平台上分析编译代码。功能包括反汇编、汇编、反编译、绘图和脚本,以及数百个其他功能。Ghidra 支持多种处理器指令集和可执行格式,并且可以在用户交互和自动化模式下运行。用户还可以使用 Java 或 Python 开发自己的 Ghidra 扩展组件和/或脚本。 下载地址: https://github.com
学习笔-Ghidra
人饭子的博客
11-02 1319
Ghidra 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 简介 Ghidra 是由美国国家安全局(NSA)研究部门开发的软件逆向工程(SRE)套件,用于支持网络安全任务。包括一套功能齐全的高端软件分析工具,使用户能够在各种平台 (Windows、Mac OS 和 Linux) 分析编译后的代码。功能包括反汇编,汇编,反编译,绘...
在Linux 中使用 Ghidra 对 exe 文件进行逆向工程
chen_zhangkonzhe的博客
03-24 729
在Linux 中使用 Ghidra 对 exe 文件进行逆向工程
赠书福利 | 开源Ghidra逆向工程的百宝书来了
Ms08067安全实验室
02-13 729
送书福利活动!!详情见文末Ghidra一次出现在公众视野是在 2017 年 3 月,当时维基解密开始泄露 Vault 7 文档,这是美国中央情报局(CIA)最大的机密文件泄漏事件,该文档包括各种秘密网络武器和间谍技术。其中,Vault 7 的第一部分包括恶意软件库、0day 武器化攻击,以及如何控制苹果的 iPhone、谷歌的 Android和微软的 Windows 设备。和 Ghidra 相...
ida反汇编java_反汇编逆向工具 ghidra_9.0 类似ida使用教程
weixin_34040270的博客
02-24 565
打开后提示输入jdk,准备好jdk 11版本的目录 粘贴进去输入就行了。image.png和ida不同,这个需要新建项目,然后导入文件,这里可以批量导入。导入成功之后双击so就可以打开image.pngcodebrower就是反汇编工具,image.png和ida一样输入;可以添加备注。可以选择c文件对应的方法image.pngimage.png你是怎么发音Ghidra的?啧啧,druh。G听起来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值