BinAbsInspector

Binabsinspector (Binary Abstract Inspector) هو محلل ثابت للهندسة العكسية الآلية والمسح الضوئي في الثنائيات في الثنائيات ، وهو مشروع بحثي طويل الأجل حضن في Keenlab. ويستند إلى تفسير مجردة بدعم من Ghidra. إنه يعمل على PCODE's Ghidra بدلاً من التجميع. حاليًا يدعم الثنائيات على X86 و X64 و ARMV7 و AARCH64.

• قم بتثبيت Ghidra وفقًا لوثائق Ghidra
• تثبيت Z3 (الإصدار الذي تم اختباره: 4.8.15)
• لاحظ أنه يوجد عمومًا جزأين لمكتبة Z3: أحدهما هو حزمة Java ، والآخر هو المكتبة الأصلية. تم تضمين حزمة Java بالفعل في دليل "/lib" ، لكننا نقترح أن تستبدلها بحزمة Java الخاصة بك لتوافق الإصدار.
  • بالنسبة لنظام التشغيل Windows ، قم بتنزيل حزمة تم إنشاؤها مسبقًا من هنا ، واستخلص ملف zip وأضف متغيرًا لبيئة المسار يشير إلى z3-${version}-win/bin
  • بالنسبة إلى Linux ، لا ينصح بتثبيت مع Package Manager ، وهناك خياران:
    1. يمكنك تنزيل حزمة ما قبل الإنشاء المناسبة من هنا ، واستخراج ملف zip ونسخ z3-${version}-glibc-${version}/bin/*.so /usr/local/lib/
    2. أو يمكنك إنشاء وتثبيت Z3 وفقًا للمبنى Z3 باستخدام Make و GCC/Clang
  • بالنسبة إلى MacOS ، فهو يشبه Linux.
• قم بتنزيل ملف ملحق zip من صفحة الإصدار
• قم بتثبيت الملحق وفقًا لملاحظات امتداد Ghidra

قم ببناء التمديد بنفسك ، إذا كنت ترغب في تطوير ميزة جديدة ، فيرجى الرجوع إلى دليل التطوير.

• تثبيت Ghidra و Z3
• تثبيت Gradle 7.x (الإصدار المختبر: 7.4)
• سحب المستودع
• تشغيل gradle buildExtension تحت جذر المستودع
• سيتم إنشاء الامتداد على dist/${GhidraVersion}_${date}_BinAbsInspector.zip

يمكنك تشغيل Binabsinspector في الوضع بدون رأس ، أو وضع واجهة المستخدم الرسومية ، أو مع Docker.

• مع وضع Ghidra Headless.

 $GHIDRA_INSTALL_DIR/support/analyzeHeadless <projectPath> <projectName> -import <file> -postScript BinAbsInspector "@@<scriptParams>"

<projectPath> - مسار مشروع Ghidra.
<projectName> - اسم مشروع Ghidra.
<scriptParams> - توفر الوسيطة لمحللنا الخيارات التالية:

• مع Ghidra GUI

  1. قم بتشغيل Ghidra واستيراد الهدف الثنائي إلى مشروع
  2. تحليل الثنائي مع الإعدادات الافتراضية
  3. عند الانتهاء من التحليل ، افتح Window -> Script Manager وابحث عن BinAbsInspector.java
  4. انقر نقرًا مزدوجًا على إدخال BinAbsInspector.java ، وقم بتعيين المعلمات في نافذة التكوين وانقر فوق موافق
  5. عند إجراء التحليل ، يمكنك رؤية تقارير CWE في نافذة وحدة التحكم ، والنقر المزدوج فوق العناوين من التقرير يمكن أن تقفز إلى العنوان المقابل

• مع Docker

git clone [email protected]:KeenSecurityLab/BinAbsInspector.git
cd BinAbsInspector
docker build . -t bai
docker run -v $( pwd ) :/data/workspace bai " @@<script parameters> " -import < file >

حتى الآن يدعم Binabsinspector المدققين التاليين:

• CWE78 (حقن أمر OS)
• CWE119 (سعة عازلة (حالة عامة))
• CWE125 (فائض المخزن المؤقت (قراءة خارج الحدود)))
• CWE134 (استخدام سلسلة التنسيق التي يتم التحكم فيها خارجيا)
• CWE190 (vereger verflow أو wraparound)
• CWE367 (وقت التحقق من وقت الاستخدام (Toctou))
• CWE415 (مجاني مزدوج)
• CWE416 (استخدم بعد مجانًا)
• CWE426 (مسار بحث غير موثوق به)
• CWE467 (استخدام SizeOF () على نوع المؤشر)
• CWE476 (Dereference Null Pointer)
• CWE676 (استخدام وظيفة خطيرة محتملة)
• CWE787 (تدفق العازلة (كتابة خارج الحدود)))

هيكل هذا المشروع كما يلي ، يرجى الرجوع إلى التفاصيل الفنية أو مقالة الإصدار الصيني لمزيد من التفاصيل.

 ├── main
│   ├── java
│   │   └── com
│   │       └── bai
│   │           ├── checkers                       checker implementatiom
│   │           ├── env
│   │           │   ├── funcs                      function modeling
│   │           │   │   ├── externalfuncs          external function modeling
│   │           │   │   └── stdfuncs               cpp std modeling
│   │           │   └── region                     memory modeling
│   │           ├── solver                         analyze core and grpah module
│   │           └── util                           utilities
│   └── resources
└── test

يمكنك أيضًا بناء Javadoc مع gradle javadoc ، وسيتم إنشاء وثائق API في ./build/docs/javadoc .

نحن نتوظيف Ghidra كأساس لدينا وغالبًا ما يستفيد من مجموعات Jimmutable لتحسين الأداء.
هنا نود أن نشكرهم على مساعدتهم الرائعة!