Ghidra Script 使用 Python语言开发调试环境配置及示例

最新推荐文章于 2024-06-12 09:55:16 发布
最新推荐文章于 2024-06-12 09:55:16 发布
阅读量3.3k 收藏 6
点赞数 1
文章标签: 逆向工程 软件逆向 ghidra
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49393427/article/details/121370974
版权

前言

Ghidra 脚本的开发有两种方式,一种是直接在Ghidra的脚本管理器中新建脚本,然后在ghidra内置的基本编辑器中编写脚本,如图:
在这里插入图片描述
在这里插入图片描述

只能进行简单的编写,使用print等进行调试。另外一种就是安装Eclipse来编写脚本和调试。下面主要介绍第二种方法。因为第二个方法可以调试啊,Ghidra的API文档内容也太多了啊,还是直接下断点看变量方便啊。而且从Eclipse里面Debug模式启动Ghidra,可以实时修改脚本,实时下断点,实时运行看结果,非常方便!

Eclipse配置

下载

从Eclipse 官网 https://www.eclipse.org/downloads/packages/ 下载Eclipse IDE for C/C++ Developers,我下载的文件名eclipse-cpp-2021-09-R-win32-x86_64.zip

解压出eclipse文件夹,我放到了C:\Users\sud0w\OneDrive\Tools\Sec\Bin\Ghidra\eclipse,运行eclipse.exe

第一次启动需要选择工作区,我的路径C:\Users\sud0w\OneDrive\Project\eclipse-workspace

安装pydev

选择 Help - Install New Software
Work with 输入 http://www.pydev.org/updates,点Add(可能因为网络原因比较慢,可以挂全局代理)
勾选 PyDev - PyDev for Eclipse
在这里插入图片描述
一路next,accept,finish,等待右下角进度条走完,提示重启Eclipse

验证安装成功:选择Window->Perspective->Open Perspective->Other, 选择 PyDev 并点击 Open

安装ghidra dev

选择 Help -> Install New Software
点击add,选择archive,选择<path>/Ghidra/Extensions/Eclipse/GhidraDev/路径下的GhidraDev-2.x.x.zip
在这里插入图片描述
点击add,勾选
在这里插入图片描述
一路next,accept,finish,等待右下角进度条走完,会提示没有签名,点anyway,然后提示restart重启eclipse

配置本地的ghidra目录

选择 GhidraDev->preferences->Ghidra Installations.
点ADD,选择ghidra目录,然后apply and close
在这里插入图片描述

验证一切完毕

打开ghidra,打开Code Browser window,Script Manager Window->Script Manager

选择一个py 脚本,例如AddCommentToProgramScriptPy.py,右键选择edit with eclipse
在这里插入图片描述
此时eclipse提示创建project,点ok。

一路默认next到
在这里插入图片描述
点+号,提示ghidra内有一个jpython,是否使用,点yes,然后等一会,点finish

此时eclipse已经可以看到ghidrascripts项目及目录了:
在这里插入图片描述

新建一个Script试试

在这里插入图片描述

在这里插入图片描述

随便写一行
在这里插入图片描述
点run,启动ghidra,code browser,script manager,可以看到分类里有一个test,里面有刚写的脚本susutest。
在这里插入图片描述
运行:
在这里插入图片描述
到此开发和调试的环境已经搞定了。

下面讲一下如何调试

下断点,在python脚本对应的行,右键下断点
在这里插入图片描述
左上角选择Debug,然后点击debug,开始调试,会自动启动ghidra实例,需要注意运行前应当关闭所有已经在运行的ghidra实例。然后正常启动code browser,去脚本管理器中找到刚才下断点的脚本,并运行。等待一下,直到右侧变量窗口出现内容,说明程序已经断下来了,并且此时可以使用Eclipse的工具栏进行单步调试:
在这里插入图片描述

参考

A Guide to Ghidra Scripting Development for Malware Researchers
Ghidra Blog - Online Courses - Intermediate scripting(推荐阅读)

苏打呀
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
ghidra_scripts:Ghidra RE脚本
05-23
ghidra_scripts Ghidra RE脚本的集合 剧本 ghidra_headless.py :包装程序以无头模式运行Ghidra并执行带有参数的提供的脚本 dump_functions.py :转储函数名称和地址的示例脚本 用法 ghidra_headless.py可以按以下方式使用python ghidra_headless.py <binary> [removed] [removed] [removed] <...> 例子: python ghidra_headless.py /bin/ls scripts/dump_functions.py output.txt
ghidra_scripts:Ghidra软件逆向工程套件的脚本
02-21
ghidra_scripts Ghidra软件逆向工程套件的脚本。 安装 在Ghidra脚本管理器中,单击工具栏中的“脚本目录”图标,然后将检出的存储库添加为路径。 该集合中的脚本将显示在“ Ghidra Ninja”类别中。 binwalk.py 在当前程序上运行binwalk并将结果标记为书签。 要求binwalk在$PATH 。 yara.py 在加载的程序中自动查找加密常量-可以非常快速地识别加密代码。 使用当前程序中yara-crypto.yar中找到的模式运行yara。 Yara规则是根据GPLv2许可的。 另外,添加了@phoul的SHA256规则。 要求yara在$PATH 。 export_gameboy_rom.py 从使用Gekkio的导入的ROM导出工作ROM。 swift_demangler.py 自动取消swift函数名称的修饰。 对于更复杂的功能
使用Pyhidra:链接GhidraPython力量
gitblog_00027的博客
06-12 397
使用Pyhidra:链接GhidraPython力量 项目地址:https://gitcode.com/dod-cyber-crime-center/pyhidra 项目介绍 Pyhidra是一个创新性的Python库,它为开发者提供了直接访问Ghidra API的能力,无需离开熟悉的CPython解释器。借助jpype,这个库使得在Python环境中进行二进制分析和逆向工程变得前所未有的简单。...
NSA开源逆向工具Ghidra入门使用教程
勤学如春起之苗,不见其增,日有所长! 辍学如磨刀之石,不见其损,日有所亏!
11-02 9853
NSA开源逆向工具Ghidra入门使用教程 安全运营奇安信威胁情报中心2019-03-07 Ghidra具有反编译功能,查看、定位反编译后的代码相较于IDA有优势。不过在使用过程中发现其处理某些混淆后代码的能力还比较欠缺,在一些界面功能上也还有较大的差距。 背景 昨天,在刚刚举办的RSA大会上,NSA发布了一款功能强大、免费的开源逆向分析工具:Ghidra。该反汇编工具类似于我们常用的IDA,不过其基于JAVA开发,是一款适用于Windows、Mac和Linux的跨平台反汇编工具,用户还可以使用..
Ghidra逆向分析工具使用与实战
Ba1_Ma0的博客
05-03 8367
简介 Ghidra 是由美国国家安全局研究局创建和维护的软件逆向工程 (SRE) 框架 。该框架包括一套功能齐全的高端软件分析工具,使用户能够在包括 Windows、macOS 和 Linux 在内的各种平台上分析编译代码。功能包括反汇编、汇编、反编译、绘图和脚本,以及数百个其他功能。Ghidra 支持多种处理器指令集和可执行格式,并且可以在用户交互和自动化模式下运行。用户还可以使用 Java 或 Python 开发自己的 Ghidra 扩展组件和/或脚本。 下载地址: https://github.com
strudra:在Python使用Ghidra结构
03-17
斯特拉德拉 欢迎使用Strudra,这是一种使用ghidra_bridge在python中制作Ghidra结构的方法。 例子 首先,初始化Strudra-如果愿意,您可以在此处传递自定义的Ghidra桥。 import strudra sd = strudra . Strudra () 我们可以使用Ghidra的所有结构,但仅在此示例中添加一个。 sd . add_struct ( "struct test{ int test1; char test2[2]; };" ) 创建一个Strud 现在,我们可以从ghidra访问新的test结构。 我们可以在构造函数中读取设置值 test_struct = sd [ "test" ]( test1 = 0x1337 ) 我们可以按名称或偏移量使用struct成员 assert ( test_struct . test == test_s
GhidraSnippets:Ghidra 的程序和反编译器 API 的 Python 片段
05-29
Ghidra Snippets是一组 Python 示例,展示了如何使用 API。 这里涵盖了三个主要 API, 、 和其他所有东西(“Complex API”)。 Flat API 是成熟的 Complex Ghidra API 的“简单”版本。 对于任何想要开发 Ghidra ...
Python-DaenerysIDA和Ghidra之间的互操作框架
08-11
Daenerys:IDA和Ghidra之间的互操作框架
Python库 | ghidrapy-0.0.1-alpha.tar.gz
03-07
在IT行业中,Python是一种广泛使用的高级编程语言,以其简洁、易读的语法和丰富的库生态系统而闻名。Python库是预编写好的代码集合,为开发者提供了各种功能,帮助他们快速开发应用程序,无需从头开始编写所有底层...
Ghidra comment add script
最新发布
07-14
instruction_descriptions = { "ADC": u"将 {} 加上进位标志位 {} 后存入前者", "ADD": u"将 {} 加到 {}", "AND": u"逻辑与操作,将 {} 和 {} 按位与后存入前者", "BT": u"测试位,测试 {} 的第 {} 位", ...
GhidraDev-2.1.0_GhidraEclipse_
10-02
Ghidra eclipse tools
ghidra-dark:Ghidra的深色主题安装程序
04-13
ghidra-dark提供了一个易于使用的安装程序,用于安装FlatLaf Dark主题,用于在Ghidra中进行反汇编/反编译的自定义颜色以及其他一些有用的设置。 安装程序支持Windows,Linux和macOS上的9.2版之前的所有公共构建。 ...
analyze-community-ghidra-plugin:适用于https的Ghidra插件
05-09
$ git clone https://github.com/intezer/analyze-community-ghidra-plugin.git将您的API密钥添加到环境变量:使用您的API密钥值创建一个名为INTEZER_API_KEY的新变量。 在Ghidra中:将仓库的路径添加到Ghidra用于...
Reverse_Ctf_Writeups:主要使用Ghidra API来自动执行任务
03-21
2个一个x64 elf文件有很多检查每个角色的块,使用ghidra api提取检查中使用的所有数据。块的结构: 我们发现输入是一个以base64编码的PE文件,在解码后我们发现它基本上做同样的事情,但是使用ghidra反编译器,块...
JNIAnalyzer:Ghidra的分析脚本可与Android NDK库一起使用
05-04
JNI分析仪此Ghidra扩展包含各种脚本,可帮助分析Android NDK... 重新启动Ghidra剧本JNIAnalyzer.java 该脚本使用反编译器提取APK文件中所有本机方法的函数签名,并将该签名应用于二进制文件中的所有匹配功能。 运行JN
Ghidra 软件逆向工具
m0_74025111的博客
04-23 726
Ghidra框架,该框架包括一套 功能齐全的高端软件分析工具,使用户能够分析编译后的代码。吉德拉 支持多种处理器指令集和可执行格式,并且可以在两者中运行 用户交互和自动化模式。用户还可以开发自己的 Ghidra 扩展组件 和/或使用 Java 或 Python 的脚本。Ghidra和IDA比起来最大的区别就是IDA是收费的而Ghidra是完全免费的。该工具使用的同时需要新建工程,然后在导入需要逆向的二进制文件。该工具需要Java环境的支持,请自行配置后使用。需要分析的二进制文件的基本信息基本也就出来了。
一款强大的逆向分析工具-Ghidra
Python_paipai的博客
04-03 788
功能包括反汇编,汇编,反编译,绘图和脚本,以及数百个其他功能。和 IDA 一样,Ghidra支持各种处理器指令集和可执行格式,用户还可以使用公开的API开发自己的Ghidra插件和脚本。不同的是,IDA是收费的,而Ghidra是免费开源的。5.按g键可以去往我们想要的地址,例如00102004,可以看到中间是反汇编窗口,右边是伪代码,左边是区段,函数表。2.Ghidra是按项目进行管理的,使用者需要首先创建一个项目,取名test。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。
Ghidra使用之Options页面功能介绍
muzico425的博客
04-18 637
==Apply Processor Defined Lables==在Ghidra中,apply processor defined labels功能可以为汇编代码中的地址和数据自动添加注释,这可以大大提高反汇编代码的可读性。使用步骤如下:打开您要反汇编的文件,进入Code Browser窗口。点击Edit菜单,选择Apply Processor Defined Labels。在弹出窗口中,选择要...
windows ghidra安装
06-15
Windows上安装Ghidra是一个比较简单的过程,只需要几个简单步骤就可以完成。 首先,用户需要进入Ghidra官网下载Ghidra的安装文件,该文件通常为ZIP格式。下载完成后,用户需要把ZIP文件解压到一个合适的位置,比如常用的程序文件夹或者用户的个人文档目录。 接着,用户需要确保自己的电脑上已经安装了Java运行时环境(JRE)。如果没有安装,用户可以在Java官网下载并安装最新版本。 安装完成后,用户需要运行Ghidra启动文件,通常是ghidra.bat或者ghidra.exe,双击即可启动Ghidra。启动时,Ghidra会提示用户选择一个工作空间目录。用户可以选择默认的工作空间目录或者指定一个自定义的目录。这个工作空间目录是用来存放Ghidra项目和配置文件的。 最后,Ghidra会在第一次启动时提示用户进行一些基本设置,比如选择一个符号表、创建新项目等等,用户可以根据自己的需求进行设置。 总的来说,Windows上安装Ghidra并不是一个复杂的过程,只需要下载并解压安装文件,确保电脑上已经安装了JRE,然后运行启动文件即可启动Ghidra并进行一些基本设置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

苏打呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值