免費逆向工程工具Ghidra指南
責編:gltian |2019-05-15 15:19:05IDA Pro 可以不用考慮了,這兒有個免費的替代品可用。
美國國家安全局(NSA),著名工業控制系統(ICS)惡意軟件 “震網” 的締造者,如今推出了開源逆向工程框架Ghidra,用以培養研究惡意軟件的逆向工程師。此舉擾亂了業界大佬 IDA Pro 長期統治下的逆向工程工具市場,使更多人可以不用支付 IDA Pro 的高昂許可費用就能學習逆向工程方法。
不過,IDA Pro 用戶大可不必急于改弦更張,因為將現有工作流和自定義項導入Ghidra的時間及精力成本尚不值得如此,至少在不遠的將來是這樣的。話雖如此,隨著Ghidra生態系統的持續發展,該開源工具很有可能吞噬掉 IDA Pro 的市場份額,并加速市場中其他競爭者的消亡。
今年3月的RSA大會上,Ghidra遵循Apache許可發布,可很方便地根據用戶自身需求加以修改。該框架一經發布,安全研究人員便紛紛開始探索其源代碼了。不用記錄有多少臺電腦安裝了經許可的副本;Ghidra不限制安裝數量,只要有需要,你可以部署在任意臺工作站(或服務器)上。
Ghidra雖然只推出了2個月時間,但在此期間收獲了大量好評,被認為是 IDA Pro 的良好替代品。想嘗試Ghidra的強大功能?下面的指南值得一看。
Ghidra是什么?
Ghidra是美國政府內部開發的一個逆向工程框架。2017年,維基解密的 Vault 7 調查中曝光了Ghidra的存在;2019年,NSA出于公關的需要在NSA大會上發布了其源代碼。
無論NSA發布Ghidra的動機如何,其有用性是無可非議的。Ghidra的功能包括逆向編譯器、上下文幫助菜單,以及普通用戶都能上手的用戶界面。沒有任何逆向工程經驗的用戶都可以在一小時之內安裝并運行起Ghidra,毫不費力地開始編輯匯編文件和重編譯二進制文件。
該框架雖說是跨平臺的,可以運行在Windows、Linux和Mac系統上,但截止目前,大多數用戶的體驗表明 OS X 版有點小問題,建議如果可能的話還是裝到Linux或Windows系統上。
Ghidra支持無外設模式( headless mode ),研究人員可以添加任意數量的云實例,大規模進行逆向工程,這一點用 IDA Pro 來實現就技術難度和花費都頗高了。Ghidra也可部署成無外設服務器,供團隊協作逆向工程大文件——IDA Pro 無法提供的一項功能。
Ghidra入門指南
作為一門學科,逆向工程的學習曲線十分陡峭,但Ghidra入門卻十分容易。逆向工程新手可以在網上找到大量的“破解練手材料”——作為自學新手逆向工程師練習工具的二進制文件。熟練運用你的搜索能力就能搜到很多軟件破解教程和攻略。
初級編程經驗很有用。C語言知識也有用。需要一點點匯編知識。
對逆向工程初學者而言最有用的一個功能就是Ghidra的反編譯器。選中一段匯編語句后,反編譯器窗口中會高亮顯示反編譯出來的代碼,可供用戶理解高級代碼與反匯編代碼的對應關系。
“
如果你想開啟逆向工程之旅,Ghidra是門檻非常低的入門之選。
資深逆向工程師可以通過Ghidra自帶的練習文件快速學習其處理方式。想讓Ghidra按自己的方式行事的,則可以通過編寫腳本或自定義設置來調整該開源項目的工作模式,IDA Pro 的專利代碼庫就沒這么友好的編輯修改功能了。
Ghidra vs. IDA Pro
截止目前,資深逆向工程師對Ghidra褒貶不一。盡管Ghidra是NSA在用的成熟軟件工程,而且很多情況下都可以替代 IDA Pro,已搭好基礎設施和現有工作流的公司卻可能會發現重構工具所需的時間精力成本比維持現有 IDA Pro 許可更高。
現有解決方案中的工具、助手和腳本可能不適用于Ghidra。如果逆向工程師自己或所供職的公司仰賴現有解決方案,就沒有時間將所有東西都導入到Ghidra中。這是完全可以理解的。
就是這些看起來瑣碎的小問題,累積起來就讓很多公司放棄使用Ghidra了。這些公司通常還往其現有工具鏈中傾注了大量工程工作,比如無數的插件、擴展、工作流、過往分析、熟練員工……這些東西Ghidra統統缺乏,需要從零開始積累。
但對某些逆向工程師而言,Ghidra的協作功能是無法抗拒的。比如成員散布全球不同城市的工作團隊,必須配備能夠高效協作的軟件。而IDA肯定不是這類軟件。
雖然短期內Ghidra撬不動很多現有公司的工作方式,但它確實降低了逆向工程入門門檻,有助于訓練出新一代逆向工程師。中長期看,這款免費開源工具難免吞噬掉 IDA Pro 的市場份額。或許某一天,發現并逆向工程NSA惡意軟件的就是一名Ghidra用戶。
Ghidra練習文件:
上一篇:聊天服務:情報項目必備數據源
下一篇:惡意軟件分類大全