在今天的RSA安全会议上,美国国家安全局(National Security Agency)发布了Ghidra,Ghidra是一种免费的软件逆向工程工具,该机构已经在内部使用了十多年了。
该工具是软件工程师的理想选择,但首先对恶意软件分析师特别有用。
NSA的总体计划是释放Ghidra,以便安全研究人员可以适应它,然后再申请NSA或NSA之前与之私下共享Ghidra的其他政府情报机构的职位。
Ghidra目前只能通过其官方网站下载,但NSA还计划在未来的将来根据GitHub上的开源许可发布其源代码。
NSA即将发布Ghidra的消息最早是在今年年初发布的,在过去的两个月中,这个工具一直在每个人的脑海中浮现。
原因是Ghidra是IDA Pro的免费替代产品,IDA Pro是一种类似的逆向工程工具,只能在非常昂贵的商业许可下使用,每年的价格在数千美元之内。
由于免费提供,大多数专家期望Ghidra在几周之内抢占逆向工程工具市场的很大一部分,特别是因为早期的用户评论几乎都是正面的。
至于技术特性,Ghidra用Java编码,具有图形用户界面(GUI),并且可以在Windows,Mac和Linux上运行。
据国家安全局高级顾问,美国国家安全局(NSA)官员罗伯·乔伊斯(Rob Joyce)今日在RSA大会上宣布该工具的发布,吉德拉(Ghidra)可以分析针对多种架构编写的二进制文件,并且可以根据需要轻松扩展更多二进制文件。 。
Ghidra处理器模块:X86 16/32/64,ARM / AARCH64,PowerPC 32/64,VLE,MIPS 16/32/64,micro,68xxx,Java / DEX字节码,PA-RISC,PIC 12/16/17/18 / 24,Sparc 32/64,CR16C,Z80、6502、8051,MSP430,AVR8,AVR32和其他+变体。高级用户可以通过定义新用户来扩展
-Rob Joyce(@RGB_Lights)2019年3月5日
我们与Rob Joyce一起宣布#Ghidra还活着!下载副本:https : //t.co/h7hOPQIChJ并开始反向!#RSAC #RSAC2019 pic.twitter.com/VXUSFopMOk
-NSA / CSS(@NSAGov),2019年3月6日
安装Ghidra就像解压缩ZIP存档一样简单。唯一的要求是运行该应用程序的GUI所需的Java Development Kit 11或更高版本。该工具的官方文档提供了有关该工具安装例程的更多信息:
Ghidra不使用传统的安装程序。取而代之的是,Ghidra分发文件只是在文件系统上原地提取。这种方法具有优点和缺点。从好的方面来说,安装Ghidra供个人使用不需要管理特权。另外,由于安装Ghidra不会更新Windows上的注册表之类的任何操作系统配置,因此删除Ghidra就像删除Ghidra安装目录一样简单。
除了安装指南,Ghidra的文档还附带针对初学者,中级和高级水平的课程和练习,可以帮助用户熟悉该工具的GUI,该GUI与任何类似工具都大不相同。
您是IDA Pro专业用户吗?没问题,也有相应的指南。
大声笑-Ghidra提供了可帮助从IDA转换用户的工具:pic.twitter.com/A649uIHmtj
-Silas Cutler(@silascutler)2019年3月6日
需要键盘快捷键备忘单吗?没问题,有一个在线托管,在这里。
不喜欢明亮的GUI?没问题,Ghidra的设置部分包含一个暗模式。
在本文发布之时(工具发布一个小时后),信息安全(信息安全)社区的反应几乎完全是积极的,网络安全行业的一些知名人士对此进行了热烈的评论。
Ghidra出局了,我们有那些ARM proc模块,UNDO按钮和协作进行分析的功能……免费! https://t.co/CAkwg9WWcK pic.twitter.com/Lq6I9fXAYx
-Maddie Stone(@maddiestone),2019年3月6日
好东西:
-反编译器真棒。
-反编译器支持您可以反汇编的任何内容。
-一切都完全集成。
-具有版本控制的多二进制项目。
-撤消!
-Joxean Koret(@matalaz)2019年3月6日
是的,我将开始将其用于所有新项目。到目前为止,看来它可以替代IDA中足够多的工作流,我可以切换了!
— Tavis Ormandy(@taviso)2019年3月6日
Ghidra可能不是大多数专家期望的IDA Pro杀手er,因为IDA Pro仍然提供了Ghidra中不存在的调试器组件,但是事情还在不断发展。
因为Ghidra的代码将是开源的,所以这也意味着它将对社区做出贡献,并且许多人希望它在未来的将来会收到调试器,并允许恶意软件分析人员迅速出手并停止为IDA许可证支付大笔费用。
即使该工具的源代码尚未在GitHub上发布,infosec社区也已开始为Ghidra做出贡献。
该工具发布仅几分钟后,总部位于英国的网络安全公司Hacker House的联合创始人兼董事Matthew Hickey报告了NSA工具中的第一个安全问题,该工具适当地运行了一个服务器组件,该组件侦听从服务器收到的命令。互联网。根据Hickey的说法,修复它应该是一站式更改,并且该问题仅在用户以其“调试模式”而不是其正常模式运行Ghidra时影响到用户。
Ghidra在侦听模式下打开侦听JDWP的端口18001,您可以使用它远程执行代码