JNIAnalyzer

Diese Ghidra -Erweiterung enthält verschiedene Skripte, die bei der Analyse von Android -NDK -Anwendungen unterstützt.

Eine binäre Ninja -Version dieses Plugins ist ebenfalls erhältlich

1. Klon dieses Repository ( git clone https://github.com/Ayrx/JNIAnalyzer.git )
2. Verwenden Sie im Ordner "Cloned Repository" den gradle -PGHIDRA_INSTALL_DIR=<YOUR GHIDRA INSTALLATION DIRECTORY> ; Angabe Ihres Ghidra -Installationsverzeichnisses
3. Klicken Sie in Ghidra im Projektfenster auf die Projekte auf File -> Install Extensions... und wählen Sie die im Ordner .zip JNIAnalyzer/dist
4. Starten Sie Ghidra neu

Dieses Skript verwendet den JADX -Dekompiler, um die Funktionssignatur aller nativen Methoden in einer APK -Datei zu extrahieren, und wendet die Signatur auf alle übereinstimmenden Fnuktionen in der Binärdatum an.

Ausführen des Erweiterungsskripts JNIAnalyzer.java überschreibt alle Funktionen der Funktionsrückgabe, Parameternamen und Parametertypen, die bereits vorhanden waren. Wenn Sie möchten, dass das Skript eine bestimmte Funktion überspringt, kommentieren Sie es mit JNIAnalyzer:IGNORE den Kommentar.

Schreiben: Ghidra Plugin: Jnianalyzer

Dieses Skript analysiert die Ausgabe von Trace_registerNatives wendet die Ergebnisse auf das Ghidra -Projekt an.

Schreiben Sie bald auf.

Dieses Skript sucht nach Aufrufen von RegisterNatives innerhalb einer Funktion und legt den JNINativeMethod -Strukturart an den entsprechenden Stellen innerhalb der Binärdatum fest. Die P-Code-API von Ghidra wird verwendet, um Referenzen auf RegisterNatives zu finden, da die Funktion normalerweise zur Laufzeit aufgelöst wird.

Dieses Skript ist derzeit sehr experimentell / verwendet auf eigenes Risiko.