Ghidra – alternatywa dla IDA Pro czy ładnie opakowany backdoor od NSA?

Jeżeli drogi Czytelniku przespałeś cały dzisiejszy dzień to śpieszę z informacją, że amerykańska agencja bezpieczeństwa (NSA) udostępniła, opracowane w swoich laboratoriach, narzędzie do inżynierii wstecznej binarek. Pakiet Ghidra funkcjonalnie prezentuje się bardzo bogato: obsługa najpopularniejszych architektur i nie tylko, wbudowany dekompilator, abstrakcja projektu, możliwość obsługi wielu binarek, praca grupowa i porównywanie plików. Jeden z moich ulubionych projektów “do bicia” czyli radare2 jest zjadany przez dziecko NSA na śniadanie 😉

Software jest oparty o Javę, a przez to bezproblemowo działa na każdej platformie (wymagane jest jedynie JDK w wersji co najmniej 11) Niestety NSA nie opublikowała jeszcze kodu źródłowego, co wzbudza czujność osób pamiętających sprawę Edwarda Snowdena oraz rewelacje grupy ShadowBrokers. Równie bogata, jak funkcjonalności, jest lista błędów jaką założyli pierwsi użytkownicy  w serwisie GitHub oraz została już znaleziona pierwsza podatność związana z obsługą JDWP udostępnianą przez Ghidrę.

Ghidra sporo “namieszała” w społeczności IT Security, do tej pory nie było darmowego i dobrze działającego dekompilatora dla tak wielu architektur. Moim zdaniem w tym momencie nie jest to na tyle dojrzały projekt, aby pobić IDA Pro, lecz z pomocą społeczności to kto wie – baza jest świetna. Czzekam na udostępnienie kodu źródłowego aby móc rzucić okiem co siedzi pod maską 🙂 Platforma od NSA na pewno zdobędzie uznanie na szkoleniach z analizy malware lub reverse engineeringu, gdyż koszty IDA’y i sposób pozyskania licencji całkowicie uniemożliwiał jej wykorzystanie podczas szkoleń innych niż wewnętrzne. Osobiście będę wykorzystywał IDA oraz Ghidrę na zmianę.

Zachęcam do zapoznania się materiałami szkoleniowymi oraz platformą (koniecznie w izolowanym środowisku i z niegroźnymi binarkami + jednocześnie patrząc na terminal i obserwując otwarte porty 😉 )