Linux

Herramienta de ingeniería inversa Ghidra NSA

Kali Linux está incluido en la última actualización de Kali Linux 2021.2 realizado a Kali Linux Enormes imágenes y repositorios lo hacen mucho más simple en este momento Instale y use Ghidra en nuestro Kali Linux Sistema, pero que es realizado? ¿Una parada?

realizado Es un marco de ingeniería inversa de programa de código abierto (SRE) creado por la Agencia de Seguridad Nacional (Agencia de Seguridad Nacional) Mesa de investigación de la misión de ciberseguridad de la Agencia Nacional de Seguridad.

Los binarios se publicaron en la charla RSA en el mes de marzo de 2019 y el código fuente se publicó en GitHub un mes después. Varios estudiosos de seguridad ven a Ghidra como un contrincante de IDA Pro. El programa está escrito en Java y emplea la GUI de Swing Framework. El ingrediente descompilador está escrito en C ++. El complemento de Ghidra se puede desarrollar en Java o Python (entregado por Jython).

Es un marco de ingeniería inversa apoyado en Java que puede descompilar apps desde ficheros binarios y entender la lógica del código. La NSA lo emplea para conseguir software malicioso en apps y asimismo es realmente útil para localizar fallos en apps.

Si escribimos este producto antes que Ghidra venga con Kali (junio de 2021), el desarrollo de instalación va a ser mucho más grande y difícil.

Pero en este momento solo requerimos un comando para instalarlo en nuestro sistema Kali Linux. Requerimos utilizar el próximo comando:

sudo apt install -y ghidra

El comando previo instala Ghidra en nuestro sistema Kali Linux. Descarga mucho más de 250 MB y ocupa prácticamente 750 MB de espacio en nuestro sistema. Por ende, la instalación va a llevar cierto tiempo en dependencia de la agilidad de la red y la configuración del sistema. Hora del café (momento de libertad.

After installing Ghidra on our Kali Linux system we cánido open this GUI based tool by using following command to open it up:

ghidra

El comando previo va a abrir Ghidra en nuestro sistema Kali Linux, o tenemos la posibilidad de procurarlo en el menú de la app. Como se puede observar en la atrapa de pantalla ahora:

Acuerdo de usuario de Ghidra

Aquí, Ghidra nos enseña el "Acuerdo de usuario" para la utilización de esta herramienta. Debemos ojearlo con atención y después clickear en "Precisamente“Esta es la primera oportunidad que empleo Ghidra.

Tras clickear en "Admitir", Ghidra va a abrir 2 ventanas, una de asistencia y la otra, la pantalla primordial del marco de Ghidra. Tenemos la posibilidad de regresar a conocer la asistencia si es requisito, pero aquí la cerramos y nos centramos en Ghidra. Se semeja a la próxima atrapa de pantalla:

Pantalla de inicio de Ghidra

Aquí observamos que no hay ningún elemento activo en nuestro Ghidra. Entonces requerimos importar un emprendimiento. Aquí disponemos un fichero exe para evaluar, primero debemos ir al menú Fichero> Nuevo emprendimientoComo se expone en la atrapa de pantalla ahora.

Nuevo proyecto de Ghidra

Entonces debemos escoger nuestro nuevo género de emprendimiento, aquí escogemos los proyectos no compartidos.

Tipos de proyectos en Ghidra

Hacemos click en "Siguiente" y en este momento debemos seleccionar la localización y el nombre del emprendimiento. Escogemos la ruta de comienzo ya establecida y nombramos el emprendimiento según sea preciso, vea la atrapa de pantalla ahora.

Nombre y ubicación del proyecto Ghidra

Entonces hacemos click en "Terminar" para llenar la creación de un nuevo emprendimiento.

Nuevo proyecto en Ghidra.  creado

En la atrapa de pantalla previo, podemos consultar que se creó un nuevo emprendimiento en Ghidra.

En este momento tenemos la posibilidad de importar un fichero de app. Por poner un ejemplo, contamos un fichero exe. Tenemos la posibilidad de arrastrar y dejar caer el fichero de la app de forma directa en el emprendimiento o abrirlo de manera directa. I Para importar ficheros de la app para evaluar, asimismo tenemos la posibilidad de escoger desde el menú Fichero> Importar fichero.

Ahora, debemos escoger el fichero de la app para evaluar como se expone en la próxima atrapa de pantalla:

Importar archivos de la aplicación ghidra

Aquí hemos elegido un fichero Shell.exe para evaluar. Lo elegimos para importar.

Resumen del artículo sobre la importación de Ghidra

Podemos consultar ciertos datos de la importación del fichero, hacemos click en "Acertado".

Resumen del artículo sobre la importación de Ghidra

Aquí, en esta ventana, podemos consultar un comprendio de los ficheros importados a Ghidra. Nos encontramos presionando 'NúmerosEl botón '↩ está aquí.

En este momento Ghidra importará el fichero y le solicitará que analice el fichero de la app en CodeBrowser.

Solicitud de análisis de Ghidra

Hacemos click en "Sí lo esAhora, debemos escoger Analizadores en la novedosa ventana. Existen muchas opciones de configuración para el escaneo, tenemos la posibilidad de clickear para poder ver la descripción de cada opción. La descripción se expone en la esquina superior derecha. la descripcion Sección.

Opciones de análisis en Ghidra

Lleve a cabo click en "Investigar" para investigar el fichero. Entonces observamos la ventana de Ghidra CodeBrowser, si nos olvidamos de investigar algo, no debemos estar preocupados, tenemos la posibilidad de regresar a investigar el software después (en Análisis Tab entonces Buscar de manera automática "shell.exe").

Analizar de nuevo en Ghidra

Nos encontramos en Ghidra CodeBrowser. Desde ahí tenemos la posibilidad de investigar la lógica y los datos de la app. Ghidra CodeBrowser tiene una plataforma de trabajo de usuario buena y esmeradamente escogida. Háganos entender resumidamente.

Información detallada sobre el navegador de códigos Ghidra

Observemos de qué forma se distribuye CodeBrowser predeterminado:

  1. En la mayoría de los casos, en la ingeniería inversa, Ghidra exhibe de manera ya establecida la visión ampliada del fichero de la app en el medio de la pantalla.
  2. El nivel de desmantelamiento es en ocasiones bastante bajo, Ghidra integra su descompilador, que está a la derecha de la ventana de desmantelamiento. La función primordial del programa se identifica con la firma Ghidra, entonces los factores se desarrollan de manera automática. Ghidra asimismo nos deja manejar el código descompilado de múltiples formas. Naturalmente, la visión hexadecimal del fichero asimismo está en la pestañita pertinente. Estas tres ventanas (desinstalar, descompilar y ventanas hexadecimales) están acompasadas y proponen distintas perspectivas sobre lo mismo.
  3. Ghidra asimismo nos deja andar de manera fácil por el software, por poner un ejemplo para entrar a otra sección del programa donde tenemos la posibilidad de clickear. Árbol de programa La ventana en la esquina superior izquierda de CodeBrowser.
  4. Si escogemos andar a un icono (por poner un ejemplo, una función de programa), debemos ir de manera directa a la localización de abajo Árbol de símbolos Se halló el disco duro.
  5. Si deseamos tratar con géneros de datos, debemos regresar a Gestor de géneros de datos.
  6. Ya que Ghidra deja la creación de secuencias de comandos de tareas de ingeniería inversa, los desenlaces de la secuencia de comandos se mostrarán en la ventana pertinente ahora; claro Marcos La pestañita está libre en un solo sitio, con lo que tenemos la posibilidad de hacer marcadores bien documentados y organizados para cada localización para un ingreso veloz.
  7. Asimismo hay una barra de ingreso veloz en la parte de arriba de Ghidra.
  8. La barra primordial está en la parte de arriba de CodeBrowser. En este momento conocemos la visión estándar de Ghidra.
  9. La función de hoy es se expone tras la dirección de hoy.
  10. Aparte de la dirección de hoy y la función de hoy, asimismo se expone la línea de desmontaje de hoy para llenar la información de contexto.
  11. Por último, el primer campo en la parte de abajo derecha señala la dirección de hoy.

realizado Este es un marco enormemente personalizable. Tiene muchas funcionalidades y asimismo tenemos la posibilidad de realizar nuestros scripts. Es imposible conseguir todos y cada uno de los datos de To Cover Ghidra en un producto. Ghidra es buen tema que requerimos Un libro entero Aprende con claridad.

¿Qué terminamos de decir en un libro? Lo poseemos. Contamos un enorme libro sobre Ghidra que cubre todo Ghidra. Consulte nuestro conjunto de Telegram para este libro. Esta es el papel de trucos oficial de Ghidra.

Disfrutas nuestro articulo Cerciórate de esto Síganos Reciba todos nuestros productos tan rápido como reciba una notificación, asimismo tenemos la posibilidad de Gorjeo Y GitHub, donde publicamos actualizaciones de productos; Únete a nosotros KaliLinuxIn La familia viene a nosotros Conjunto de telegramasEstamos trabajando arduamente para crear una red social para Linux y seguridad de red. Siempre y en todo momento nos encontramos contentos de contribuir a alguno en cualquier cosa. En el cuadro deComo todos entendemos, nuestra sección de comentarios siempre y en todo momento está abierta a todos, leemos todos y cada uno de los comentarios y Siempre y en todo momento respondemos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba