Ghidra – alternatywa dla IDA Pro czy ładnie opakowany backdoor od NSA?

Jeżeli drogi Czytelniku przespałeś cały dzisiejszy dzień to śpieszę z informacją, że amerykańska agencja bezpieczeństwa (NSA) udostępniła, opracowane w swoich laboratoriach, narzędzie do inżynierii wstecznej binarek. Pakiet Ghidra funkcjonalnie prezentuje się bardzo bogato: obsługa najpopularniejszych architektur i nie tylko, wbudowany dekompilator, abstrakcja projektu, możliwość obsługi wielu binarek, praca grupowa i porównywanie plików. Jeden z moich ulubionych projektów “do bicia” czyli radare2 jest zjadany przez dziecko NSA na śniadanie 😉

 

 

Software jest oparty o Javę, a przez to bezproblemowo działa na każdej platformie (wymagane jest jedynie JDK w wersji co najmniej 11) Niestety NSA nie opublikowała jeszcze kodu źródłowego, co wzbudza czujność osób pamiętających sprawę Edwarda Snowdena oraz rewelacje grupy ShadowBrokers. Równie bogata, jak funkcjonalności, jest lista błędów jaką założyli pierwsi użytkownicy  w serwisie GitHub oraz została już znaleziona pierwsza podatność związana z obsługą JDWP udostępnianą przez Ghidrę.

Ghidra sporo “namieszała” w społeczności IT Security, do tej pory nie było darmowego i dobrze działającego dekompilatora dla tak wielu architektur. Moim zdaniem w tym momencie nie jest to na tyle dojrzały projekt, aby pobić IDA Pro, lecz z pomocą społeczności to kto wie – baza jest świetna. Czzekam na udostępnienie kodu źródłowego aby móc rzucić okiem co siedzi pod maską 🙂 Platforma od NSA na pewno zdobędzie uznanie na szkoleniach z analizy malware lub reverse engineeringu, gdyż koszty IDA’y i sposób pozyskania licencji całkowicie uniemożliwiał jej wykorzystanie podczas szkoleń innych niż wewnętrzne. Osobiście będę wykorzystywał IDA oraz Ghidrę na zmianę.

Zachęcam do zapoznania się materiałami szkoleniowymi oraz platformą (koniecznie w izolowanym środowisku i z niegroźnymi binarkami + jednocześnie patrząc na terminal i obserwując otwarte porty 😉 )

6 thoughts on “Ghidra – alternatywa dla IDA Pro czy ładnie opakowany backdoor od NSA?

    1. Nie jestem w stanie odpowiedzieć, bo nie mam kodu źródłowego a appki nie zdążyłem poddać dekompilacji 😉

      1. #clickbait

        Ja tam mam nadzieję że uda mi się przejść w 100% na gHidrę. *Bardzo* ważny IMO ficzer o którym dość cicho, jest to że OOTB jest wypuszczony serwer, więc collaborative reversing jest w zasadzie za darmo. Mam nadzieję że uda się niedługo w CERT gdzieś postawić :P.

      2. No no, tylko tytuł akcentuje, że się człowiek dowie odpowiedzi jak to jest, a nie ma nic 😉

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.