FindCrypt Ghidra

تم خصم هذا المشروع حيث لا يمكنني الاحتفاظ به ، يرجى الرجوع إلى الشوك أو الاختلافات في هذا المشروع مثل هذا المشروع. لا تتردد في فتح مشكلة إذا كنت ترغب في إضافة مشروعك إلى قائمة العمل المشتق ، مع وصف قصير

بينما استخدمنا على مدار سنوات IDA Pro ومكوناتها الإضافية المذهلة التي طورتها مجتمعها الضخم ، خرجت Ghidra مؤخرًا (في وقت كتابة هذا التقرير) التي تُظهر الكثير من الإمكانات وتصميم وحدات لا يصدق للتخصيص في كل من Python أو Java.

كما يعلم معظمكم ، يعد FindCrypt ، وهو مكون إضافي يصنعه Ilfak Guilfanov نفسه لـ IDA ، ضروريًا لإيجاد إشارات إلى وظائف التشفير في الهدف ومفيدًا للغاية في مجال الهندسة العكسية.

أحاول الانتقال إلى Ghidra وأول شيء لاحظته هو مدى أهمية المكون الإضافي بالنسبة لي ، لذلك تحملت مسؤولية ترحيله ، في Java ، دون التضحية بأي توقيع ومحاولة تحسينه أيضًا.

يتم تطوير هذا البرنامج واختباره ، إذا واجهت أي مشكلة ، يرجى المتابعة في قسم المشكلات

1. ابحث عن دليل تثبيت Ghidra الخاص بك (على سبيل المثال "E: عكس البرامج ghidra_9.0")
2. نقل "FindCrypt.java" إلى "Ghidra Features bytepatterns ghidra_scripts"
3. انقل "FindCrypt_Ghidra" (دليل قاعدة البيانات) إلى "C: Users المستخدم الخاص بك"
4. تأكد من أن Ghidra يمكنه الوصول إلى دليل "FindCrypt_Ghidra" على حد سواء للقراءة والكتابة.

1. ابحث عن دليل تثبيت Ghidra الخاص بك (على سبيل المثال/غيدا)
2. نقل "FindCrypt.java" إلى "~/ghidra/features/bytepatterns/ghidra_scripts"
3. انقل "FindCrypt_Ghidra" (دليل قاعدة البيانات) إلى ~/ (أو $ home)
4. تأكد من أن Ghidra يمكنه الوصول إلى دليل "~/findCrypt_Ghidra" للقراءة والكتابة.

بمجرد أن تبدأ مشروعك وفتح Disassembler ، استخدم نافذة Script Manager وابحث عن "FindCrypt.java" ، من خلال النقر المزدوج أو الضغط على "Run" سيقوم بتنفيذ البرنامج النصي ويتم عرض شاشة نتيجة إذا تم العثور على شيء ما.

قاعدة البيانات عبارة عن ملف ثنائي قمت بتسلسله بنفسي ، من السهل جدًا الفهم والأساسي للغاية ولكنه وظيفي لهدفه. تحتوي قاعدة البيانات على جميع ثوابت الخوارزميات الـ 79 التي تنفذها ILFAK ، ولم يتم تقديم أي تضحيات أثناء ترحيلها ، مع إضافة المزيد والمزيد من قبل المساهمين.

هناك ما مجموعه 122 ثوابت قابلة للاكتشاف في قاعدة البيانات ، تتعلق بـ:

• الأوائل الخام
  • كيكاك (SHA-3)
• منحنيات الإهليلجي
  • Donna32 (EC25519) ، Donna64 (EC25519)
• تيار الأصفار
  • تشاتشا ، سالسا ، سوسمانوك
• كتلة الأصفار
  • Blowfish ، Camellia ، des ، Tripledes ، RC2 ، Shark ، Cast ، Square ، Wake ، Skipjack ، Hight ، Kalyna ، Lea ، Seed ، Schacal2 ، Simon-64 ، Simon-128 ، Tea/Tean/Xxtea/Xxtea
• hash funcions
  • Whirlpool ، MD2 ، MD4 ، MD5 ، SHA-1 ، SHA-256 ، SHA-384 ، SHA-512 ، Tiger ، Ripemd160 ، Haval ، Blake2
• عائلة AES
  • AES ، RC5/RC6 ، MARS ، TWOFISH ، CAST-256 ، GOST ، أكثر أمانًا
• ضغط
  • زلب

لتضمين المزيد من الثوابت التي تختارها ، ما عليك سوى الرجوع إلى مشروع "FCEXPorter" وربما يشترك أيضًا في إدخالاتك الجديدة :)

يستخدم البرنامج النصي الآن نظام تحديث تلقائي داخلي متزامن مع أحدث إصدار لقاعدة البيانات في هذا المستودع. يتم تشغيل مزامنة المستودع المركزي بشكل افتراضي ، وهذا هو التأكد من أن المستخدم لديه دائمًا أحدث إصدار ممكن وبالتالي الحصول على أفضل النتائج من البرنامج النصي ، إذا كنت ترغب في إيقاف تشغيله:

1. افتح ملف "FindCrypt.java" وابحث عن متغير "__force_no_dbupdate" (السطر 705).
2. استبدل "خطأ" بـ "true".

على الرغم من أن قاعدة البيانات حسب التصميم ويمكن تحديثها تلقائيًا ، إلا أن البرنامج النصي لا يمكنه ؛ لكن البرنامج النصي سيتحقق من الإصدار الحالي ويطالب المستخدم بالتحقق من أحدث إصدار للمستودع للتنزيل ، مع قائمة التغييرات من الإصدار الجديد.

رسالة تحديث البرنامج النصي هي موجه مرة واحدة فقط لكل جلسة.

تابع لتنزيل أحدث إصدار من "FindCrypt.java" واستبدله في دليل Script Ghidra.

كما يتم تشغيل هذه الميزة بشكل افتراضي ، إذا كنت ترغب في تعطيلها ، اتبع الخطوات المذكورة أعلاه على "__force_no_scriptupdate" (السطر 707).

d3vil401 - [email protected] ، d3vil401#7685 (Discord) ، https://d3vsite.org/

Ilfak Guilfanov - https://twitter.com/ilfak

NSA (Ghidra) - https://ghidra-sre.org/

GNU GPLV3 - ارجع إلى "الترخيص"

باستخدام Crypto ++ - ارجع إلى التراخيص crypto ++. txt