Startseite>JSP-Quellcode>Andere Kategorien
Herunterladen

Was ist Binabsinspector?

Binabsinspector (binärer abstrakter Inspektor) ist ein statischer Analysator für automatisierte Reverse Engineering und Scan-Schwachstellen in Binärdateien, ein langfristiges Forschungsprojekt, das bei KeenLab inkubiert ist. Es basiert auf abstrakter Interpretation mit der Unterstützung von Ghidra. Es funktioniert auf Ghidras PCode anstelle von Montage. Derzeit unterstützt es Binärdateien auf X86, X64, ARMV7 und AARG64.

Installation

  • Installieren Sie Ghidra gemäß Ghidras Dokumentation
  • Installieren Sie Z3 (getestete Version: 4.8.15)
  • Beachten Sie, dass es im Allgemeinen zwei Teile für die Z3 -Bibliothek gibt: Eines ist Java -Paket, der andere ist eine native Bibliothek. Das Java -Paket ist bereits im "/lib" -Verzeichnis enthalten. Wir empfehlen jedoch, dass Sie es durch Ihr eigenes Java -Paket für die Versionskompatibilität ersetzen.
    • Laden Sie für Windows ein vorgefertigtes Paket von hier herunter, extrahieren Sie die ZIP-Datei und fügen Sie eine Pfadumgebungsvariable hinzu, die auf z3-${version}-win/bin zeigt
    • Für Linux wird die Installation mit Package Manager nicht empfohlen. Es gibt zwei Optionen:
      1. Sie können hier das geeignete Paket vor dem Bau herunterladen, die ZIP-Datei extrahieren und z3-${version}-glibc-${version}/bin/*.so zu /usr/local/lib/
      2. Oder Sie können Z3 gemäß Gebäude Z3 mit Make und GCC/Clang bauen und installieren
    • Für macOS ähnelt es Linux.
  • Laden Sie die Erweiterungs -ZIP -Datei von der Release -Seite herunter
  • Installieren Sie die Erweiterung gemäß Ghidra -Erweiterungsnotizen

Gebäude

Erstellen Sie die Erweiterung selbst. Wenn Sie eine neue Funktion entwickeln möchten, lesen Sie bitte den Entwicklungshandbuch.

  • Installieren Sie Ghidra und Z3
  • Installieren Sie Gradle 7.x (getestete Version: 7.4)
  • Ziehen Sie das Repository
  • Führen Sie gradle buildExtension unter Repository Root aus
  • Die Erweiterung wird unter dist/${GhidraVersion}_${date}_BinAbsInspector.zip generiert

Verwendung

Sie können Binabsinspector im kopflosen Modus, GUI -Modus oder mit Docker ausführen.

  • Mit Ghidra Headless -Modus. 
 $GHIDRA_INSTALL_DIR/support/analyzeHeadless <projectPath> <projectName> -import <file> -postScript BinAbsInspector "@@<scriptParams>"

<projectPath> - Ghidra -Projektpfad.
<projectName> - Ghidra -Projektname.
<scriptParams> - Das Argument für unseren Analysator bietet folgende Optionen:

Parameter Beschreibung
[-K <kElement>] Kset Größengrenze k
[-callStringK <callStringMaxLen>] Ruf Zeichenfolge Maximale Länge k
[-Z3Timeout <timeout>] Z3 Timeout
[-timeout <timeout>] Analysezeitüberschreitung
[-entry <address>] Eingabeadresse
[-externalMap <file>] Externe Funktionsmodellkonfiguration
[-json] Ausgabe im JSON -Format
[-disableZ3] Deaktivieren Sie Z3
[-all] Aktivieren Sie alle Prüfer
[-debug] Aktivieren Sie das Debugging -Protokollausgang
[-check "<cweNo1>[;<cweNo2>...]"] Aktivieren Sie bestimmte Prüfer

  • Mit Ghidra GUI

    1. Führen Sie Ghidra aus und importieren Sie das Ziel -Binärdatum in ein Projekt
    2. Analysieren Sie die Binärdatei mit Standardeinstellungen
    3. Wenn die Analyse durchgeführt wird, öffnen Sie Window -> Script Manager und finden Sie BinAbsInspector.java
    4. Doppelklicken Sie auf BinAbsInspector.java Eintrag, stellen Sie die Parameter im Konfigurationsfenster fest und klicken Sie auf OK
    5. Wenn die Analyse durchgeführt wird, können Sie die CWE-Berichte im Konsolenfenster sehen. Doppelklicken Sie auf die Adressen aus dem Bericht können zu entsprechender Adresse springen

  • Mit Docker 

git clone [email protected]:KeenSecurityLab/BinAbsInspector.git
cd BinAbsInspector
docker build . -t bai
docker run -v $( pwd ) :/data/workspace bai " @@<script parameters> " -import < file >

Implementierte Prüfer

Bisher unterstützt Binabsinspector die folgenden Prüfer:

  • CWE78 (OS -Befehlsinjektion)
  • CWE119 (Pufferüberlauf (generischer Fall))
  • CWE125 (Pufferüberlauf (außerhalb der Unterkunft gelesen))
  • CWE134 (Verwendung von extern kontrollierter Formatzeichenfolge)
  • CWE190 (Ganzzahlüberlauf oder Wickel)
  • CWE367 (Überprüfungszeitzeit (TOCTOU))
  • CWE415 (doppeltfrei)
  • CWE416 (Verwendung nach frei)
  • CWE426 (nicht vertrauenswürdiger Suchpfad)
  • CWE467 (Verwendung von sizeof () auf einem Zeigertyp)
  • CWE476 (Nullzeiger Dereference)
  • CWE676 (Verwendung einer potenziell gefährlichen Funktion)
  • CWE787 (Pufferüberlauf (außerhalb der Bounds schreiben))

Projektstruktur

Die Struktur dieses Projekts lautet wie folgt. Weitere Informationen finden Sie unter technischen Details oder im Artikel Chinese -Versionsartikel. 

 ├── main
│   ├── java
│   │   └── com
│   │       └── bai
│   │           ├── checkers                       checker implementatiom
│   │           ├── env
│   │           │   ├── funcs                      function modeling
│   │           │   │   ├── externalfuncs          external function modeling
│   │           │   │   └── stdfuncs               cpp std modeling
│   │           │   └── region                     memory modeling
│   │           ├── solver                         analyze core and grpah module
│   │           └── util                           utilities
│   └── resources
└── test

Sie können den Javadoc auch mit gradle javadoc bauen. Die API -Dokumentation wird in ./build/docs/javadoc generiert.

Anerkennung

Wir beschäftigen Ghidra als Fundament und nutzen häufig Jimmable -Sammlungen, um eine bessere Leistung zu erzielen.
Hier möchten wir ihnen für ihre große Hilfe danken!

Expandieren
Zusätzliche Informationen
Ähnliche Anwendungen
Empfohlen für Sie
Ähnliche Nachrichten Alle