الصفحة الرئيسية>كود المصدر JSP>فئات أخرى
تنزيل

غوستر

البرامج النصية لاستعادة تعريفات السلسلة في ثنائيات GO مع تحليل P-Code. تم اختباره مع x86 ، x86-64 ، الذراع ، و ARM64.

البرامج النصية

جولانج

يمكن العثور عليها في فئة Golang في مدير البرنامج النصي.

  • GoDynamicStrings.java
    • تحليل P-Code للعثور على هياكل السلسلة التي تم إنشاؤها على المكدس. يستخدم تحليل نمط "سجل" المستوى الأدنى.
  • GoFuncCallStrings.java
    • تحليل P-Code للعثور على هياكل السلسلة التي تم تمريرها مباشرة إلى مكالمات الوظائف عبر السجلات ، دون كتابتها إلى المكدس. يستخدم تحليل نمط "تطبيع" مع دعم جولانج الجديد المدمج من Ghidra (انظر ملاحظات إصدار Ghidra لإصدارات Golang المدعومة).
  • GoStaticStrings.java
    • البحث عن هياكل السلسلة GO المخصصة بشكل ثابت في الذاكرة للقراءة فقط.
  • GoKnownStrings.java
    • يبحث عن الأوتار الفريدة القياسية ويحددها. يتم تحميل بيانات السلسلة من data/known_strings.json .
  • GoStringFiller.java
    • يملأ الفجوات في go.string.* بعد التحليل الأولي ، بناءً على ترتيب طول تصاعدي لبيانات السلسلة.

هناك أيضًا بعض الاختلافات الخاصة في البرنامج النصي لتحليل السلسلة الديناميكية:

  • GoDynamicStringsSingle.java
    • يؤدي نفس التحليل مثل GoDynamicStrings.java ، ولكنه يستخدم عملية decompiler واحدة. استخدم هذا إذا كان تحليل ثنائي يؤدي إلى عمليات إلغاء التوازي المتوازية لذاكرة نظام العادم.
  • GoDynamicStringsHigh.java
    • التجريبي ، يستخدم إخراج P-Code من تحليل نمط "الطبيع" العالي المستوى. يعتمد حاليًا على الاختراق الذي يؤدي إلى إبعاد Deadcode في decompiler (انظر https://research.nccgroup.com/2022/05/20/earlyremoval-in-the-conservatory-with-the-wrench/). هذا الاختراق يكسر في غيدا 10.2.

P-Code

يمكن العثور على ذلك في فئة PCODE في مدير البرنامج النصي.

  • PrintHighPCode.java
    • يطبع إخراج P-Code High للوظيفة المحددة حاليًا إلى وحدة التحكم ، مع استخدام محدد لأسلوب تبسيط Decompiler. تستخدم بشكل رئيسي لتطوير البرامج النصية لتحليل الرمز P.

تدفق استرداد السلسلة

إليك التدفق العام لاستخدام هذه البرامج النصية لاستعادة تعريفات السلسلة في GO Binary:

  1. قم بمسح جميع السلاسل غير الصحيحة أو المحددة تلقائيًا في كتلة ذاكرة البيانات للقراءة فقط.
    • في نافذة "السلاسل المحددة" ، قم بتمكين عمود "MEM BLOCK" والتصفية عن طريق كتلة الذاكرة لتحديد جميع الأوتار في .rodata أو .rdata أو __rodata . ثم انقر بزر الماوس الأيمن في قائمة الكود واختر "Clear Code Bytes".
  2. (اختياري) تشغيل GoKnownStrings.java للكشف عن بعض السلاسل القياسية.
  3. تشغيل GoStaticStrings.java .
  4. Run GoFuncCallStrings.java (إذا كانت النسخة الثنائية Golang مدعومة بميزات Golang المدمجة في Ghidra) .
  5. تشغيل GoDynamicStrings.java .
  6. تشغيل GoStringFiller.java .
    • إذا اكتشف انتهاكًا لترتيب الطول الصاعد لبيانات السلسلة ، قم بمسح أي تعريفات سلسلة إيجابية خاطئة في هذا المجال وإعادة تشغيل البرنامج النصي. هناك خيار للقيام بذلك تلقائيًا.
    • إذا تم تجريد الثنائي ، حدد مساحة سلاسل بايت واحدة موجودة بواسطة البرنامج النصي للسلاسل الديناميكية. تأكد من أنها بداية السلاسل المجمعة معًا غير المنتهية (يجب تحديد المزيد من الأوتار بعد الطول بالترتيب الصاعد). إنشاء الملصق go.string.* في سلسلة البايت الأولى.
  7. تحقق من وجود فجوات متبقية في go.string.* ، وتحديد أي سلاسل بنقاط بداية ونهاية واضحة.
    • لتحقيق أقصى استفادة من GoStringFiller.java ، حدد أين تتغير أطوال السلسلة في بيانات السلسلة غير المحددة وتحديد السلاسل الأقرب إلى تلك الحدود. ثم أعد تشغيل GoStringFiller.java لملء البقع تلقائيًا حيث يمكنه تحديد طول السلاسل غير المحددة بشكل صحيح.
  8. (اختياري) إعادة تشغيل أداة تحليل سلسلة ASCII المدمجة في Ghidra.
    • تعطيل الكتابة فوق السلاسل الحالية. ركض مع وبعد ذلك بدون متطلبات المنهي الخالية.

يثبت

التثبيت

في غددرا:

  1. ملف -> تثبيت ملحقات -> إضافة ملحق
  2. حدد ملف zip extension

تطوير

ل Eclipse مع البرنامج المساعد Ghidradev:

  1. استنساخ repo
  2. ملف -> استيراد -> مشاريع من مجلد أو أرشيف
  3. حدد دليل repo
  4. Ghidradev -> ربط Ghidra ...
  5. حدد المشروع المستورد

مبنى

بناء مع الكسوف:

  • Ghidradev -> Export -> امتداد وحدة Ghidra ...

بناء مباشرة مع Gradle: 

$ cd Ghostrings
$ gradle -PGHIDRA_INSTALL_DIR= < ghidra_install_dir >

خلفية

هناك مشكلة معروفة مع برامج GO Engineering العكسية هي أن الافتقار إلى أطراف الطرف الفارغ في GO-ONTRINGS يجعل تعريفات سلسلة استعادة من الثنائيات المترجمة صعبة. يتم تخزين العديد من قيم السلسلة الثابتة لبرنامج GO في نقطة واحدة عملاقة في البناء المترجم ، دون أي أحرف Terminator مدمجة في بيانات السلسلة لتحديد مكان تنتهي إحدى السلسلة وتبدأ أخرى. حتى برنامج بسيط يطبع فقط "Hello World!" لديه أكثر من 1500 سلاسل في تكنولوجيا المعلومات المتعلقة بنظام وقت التشغيل GO والمكتبات القياسية الأخرى. يمكن أن يتسبب ذلك في تطبيقات اكتشاف سلسلة ASCII النموذجية ، مثل تلك التي توفرها Ghidra ، لإنشاء تعريفات سلسلة إيجابية زائفة تتراوح بين عشرات الآلاف من الأحرف.

بدلاً من السلاسل الفارغة ، يستخدم GO بنية سلسلة تتكون من مؤشر وقيمة طول. يتم إنشاء العديد من هياكل السلسلة هذه على مكدس البرنامج في وقت التشغيل ، لذا فإن استرداد مواقع بدء السلسلة الفردية وقيم الطول يتطلب تحليل رمز الجهاز المترجم. هناك عدد قليل من البرامج النصية الموجودة التي تؤدي هذا التحليل عن طريق التحقق من أنماط معينة من تعليمات X86-64 ، لكنها تفوت الهياكل التي تم إنشاؤها مع اختلافات غير معطلة من التعليمات التي لها في نهاية المطاف نفس التأثير على المكدس ، وهي مقصورة أيضًا على ISA محددة.

يتجنب Ghostrings كلتا المشكلتين من خلال العمل مع عمليات P-Code المستقلة المبسطة والمستقلة التي تنتجها تحليل Ghidra's Decompiler.

معلومات التحرير

حقوق الطبع والنشر 2022 NCC Group. تم إصداره بموجب ترخيص GPLV3 (انظر الترخيص).

المؤلف الرئيسي للمشروع: جيمس تشامبرز جيمس.

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل