44

RSA 2019丨NSA内部开源反汇编工具集Ghidra

 5 years ago
source link: http://4hou.win/wordpress/?p=29708&%3Butm_source=tuicool&%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

NSA 发布了内部开源逆向工程工具 Ghidra ,可用于从应用程序中搜查安全漏洞和其它问题。

NZBNr2U.jpg!web

剧透预警:

它受Apache 2.0许可,现在已可下载,并要求Java运行时。NSA保证称并未在其中安装任何后门。

著名的“圣诞节灯光黑客”兼NSA局长网络安全顾问Rob Joyce在RSA大会上发表演讲,披露了这款代码分析软件。NSA希望该开源代码助力安全软件研究工作,并向与会者确保其中并不暗藏任何不可告人的伎俩。

他宣布称,“Ghidra中并不存在任何后门。对于寻找拆解这些东西的人来说,这是你想要发布含有后门的东西的最后一个地方。”

然而,英国安全厂商Hacker House的研究员Matthew “HackerFantastic”Hickey表示,这个项目中存在一个奇怪的地方。当你以调试模式运行该代码时,它会向本地网络开放端口18001,从能够连接的机器上执行远程命令。调试模式默认并未激活,尽管这是已提供的功能。

不过不要失去理智。如果你打算改进或修正问题的话,要注意这一点,要在启动调试的情况下启动它。因此这个问题更像是一个bug,而不是后门,可通过更改启动程序shell脚本中断,这样该软件仅监听主机的调试连接,而不是通过网络监听任何计算机。

NSA的一名发言人表示,这个开放的端口允许团队进行协作并和共享信息以及同时在网络上互相提醒。然而,Hickey表示该功能是由另外一个网络端口提供的。

Hickey表示,“这个共享的项目使用了不同的端口13100,因此它并非同一个功能。他们犯了一个错误,在为Ghidra启用调试模式时使用了 * 而非本地主机。”

细节和关键功能

Joyce在演讲中表示,Ghidra是由NSA内部开发的,目的是为了拆解包括恶意软件在内的软件,并且找出潜伏在可执行二进制文件中的内容。网络间谍通过使用这类工具来查找产品中的安全弱点以攻击情报目标。

该项目由120万行代码组成,旨在逆向编译器进程、将可执行代码反编译为汇编列表,最后转换为近似的C代码。它还有助于通过函数绘制控制流,检查符号和引用,识别变量、数据和其它信息,等等。如果你习惯使用类似的逆向工程工具如IDA、Hopper、Radare、Capstone、Snowman等,那么你会对它非常熟悉。

该平台独立于处理器,能够分析x86、Arm、PowerPC、MIPS、Sparc32/64和其它处理器的代码,并且能够在Windows、macOS和Linux上运行。虽然是用Java构建的,但该代码也能处理基于Python的插件以及用Java编写的插件,Joyce表示这样做的原因是NSA分析师不喜欢Java因此添加了Python支持。

用户能够在具有或没有图形用户界面的情况下使用Ghidra,并可编写脚本。如上所述,用户不仅能够使用自己的注释来注释代码,还可以通过网络协作从其它团队成员那里获取注释。

对于新用户而言,NSA还提供了大量的帮助文档。Joyce表示他希望社区能够添加更多的功能和脚本并进行分享,因为NSA想要使其成为广泛使用的工具。

他表示,Ghidra开源了,但这并非结果。NSA已在GitHub上建立了存储库,并表示接受贡献。

Avai6bZ.jpg!web

Joyce承诺将在未来发布一款集成的调试器、一款强大的仿真器以及改进后的分析工具。他表示这些工作花的是美国纳税人的钱,一旦纳税人能够赶上内部工具的速度,那么它可能能够帮助公民进入NSA。

不过,话说回来,一直想问个问题:NSA到底为什么会向全球所有人免费开放这款工具?或许NSA的对手具有更好的或类似的工具,也有可能NSA内部已经转向了更加复杂的工具集,正好是公开发布Ghidra工具集的好时机。

工具集下载地址: https://ghidra-sre.org/

GitHub: https://github.com/NationalSecurityAgency/ghidra

原文地址: https://www.theregister.co.uk/2019/03/06/nsa_ghidra_joyce/

*本文作者:360代码卫士,转载请注明来自FreeBuf.COM


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK