ghostrings

Scripts para recuperar definiciones de cadena en binarios GO con análisis de código P. Probado con x86, x86-64, brazo y brazo64.

Estos se pueden encontrar en la categoría Golang en el administrador de scripts.

• GoDynamicStrings.java
  • Analiza el código P para encontrar estructuras de cadena creadas en la pila. Utiliza el análisis de estilo de "registro" de nivel inferior.
• GoFuncCallStrings.java
  • Analice el código P para encontrar estructuras de cadena pasadas directamente a las llamadas de funciones a través de registros, sin ser escrito a la pila. Utiliza el análisis de estilo "Normalizar" con el nuevo soporte de Golang incorporado de Ghidra (ver Notas de lanzamiento de Ghidra para versiones de Golang compatibles).
• GoStaticStrings.java
  • Encuentre las estructuras de cadena GO asignadas estáticamente en la memoria de solo lectura.
• GoKnownStrings.java
  • Búsqueda de cadenas únicas estándar y las define. Los datos de cadena se cargan desde data/known_strings.json .
• GoStringFiller.java
  • Llena los vacíos en go.string.* Después del análisis inicial, basado en el orden de longitud ascendente de los datos de la cadena.

También hay un par de variaciones especiales del script de análisis de cadenas dinámicas:

• GoDynamicStringsSingle.java
  • Realiza el mismo análisis que GoDynamicStrings.java , pero utiliza un solo proceso de descompilador. Use esto si analizar un binario provoca los procesos del descompilador paralelo para la memoria del sistema de escape.
• GoDynamicStringsHigh.java
  • Experimental, utiliza la salida de código P del análisis de estilo "normalizar" de nivel superior. Actualmente depende de un truco que desactive la eliminación del código muerto en el descompilador (ver https://research.nccgroup.com/2022/05/20/earlyremoval-in-the-tonservatory-with-the-wrench/). Este hack se rompe en Ghidra 10.2.

Esto se puede encontrar en la categoría PCODE en el Administrador de scripts.

• PrintHighPCode.java
  • Imprime una alta salida de código P para la función seleccionada actualmente en la consola, con un selector para el estilo de simplificación del descompilador. Se utiliza principalmente para desarrollar scripts de análisis de código P.

Aquí está el flujo general para usar estos scripts para recuperar las definiciones de cadenas en un binario Go:

1. Borre todas las cadenas incorrectas o definidas automáticamente en el bloque de memoria de datos de solo lectura.
   • En la ventana "Cadenas definidas", habilite la columna "Bloque MEM" y filtre por el bloque de memoria para seleccionar todas las cadenas en .rodata , .rdata o __rodata . Luego haga clic derecho en la lista de código y elija "Borrar bytes de código".
2. (Opcional) Ejecute GoKnownStrings.java para detectar algunas cadenas estándar.
3. Ejecutar GoStaticStrings.java .
4. Ejecute GoFuncCallStrings.java (si la versión binaria de Golang es compatible con las características de Golang incorporadas de Ghidra) .
5. Run GoDynamicStrings.java .
6. Ejecutar GoStringFiller.java .
   • Si detecta una violación del orden de longitud ascendente de los datos de la cadena, borre las definiciones de cadena falsas positivas en esa área y vuelva a ejecutar el script. Hay una opción para hacer esto automáticamente.
   • Si el binario se elimina, ubique el área de una cadena de bytes que se encuentra con el script de las cadenas dinámicas. Asegúrese de que sea el comienzo de las cuerdas no terminadas en NULL AMPRENDIDAS (se deben definir más cuerdas después con la longitud en orden ascendente). Crea la etiqueta go.string.* En la primera cadena de byte.
7. Verifique los espacios restantes en go.string.* , Y defina cualquier cadena con puntos de inicio y finalización obvios.
   • Para hacer el mayor uso de GoStringFiller.java , identifique dónde las longitudes de la cadena están cambiando en datos de cadena indefinidos y defina las cadenas más cercanas a ese límite. Luego vuelva a ejecutar GoStringFiller.java para completar automáticamente los puntos donde puede determinar correctamente la longitud de las cadenas indefinidas restantes.
8. (Opcional) Vuelva a ejecutar la herramienta de análisis ASCII incorporada de Ghidra.
   • Deshabilitar sobrescribir las cuerdas existentes. Ejecute y luego sin el requisito de terminador nulo.

En Ghidra:

1. Archivo -> Instalar Extensiones -> Agregar extensión
2. Seleccione el archivo ZIP de extensión

Para Eclipse con el complemento Ghidradev:

1. Repositorio
2. Archivo -> importar -> proyectos desde la carpeta o el archivo
3. Seleccione el directorio de repo
4. Ghidradev -> Link Ghidra ...
5. Seleccione el proyecto importado

Construir con eclipse:

• Ghidradev -> Exportar -> Extensión del módulo Ghidra ...

Construir directamente con Gradle:

$ cd Ghostrings
$ gradle -PGHIDRA_INSTALL_DIR= < ghidra_install_dir > 

Un problema bien conocido con los programas de ingeniería inversa es que la falta de terminadores nulos en las cadenas GO dificulta la recuperación de las definiciones de cadena de binarios compilados. Muchos de los valores de cadena constantes de un programa GO se almacenan juntos en una mancha gigante en la compilación compilada, sin ningún caracteres de terminador integrados en los datos de cadena para marcar donde termina una cadena y comienza otra. Incluso un programa simple que solo imprime "¡Hola mundo!" Tiene más de 1,500 cadenas relacionadas con el sistema de tiempo de ejecución GO y otras bibliotecas estándar. Esto puede causar implementaciones típicas de descubrimiento de cadenas ASCII, como la proporcionada por Ghidra, para crear definiciones de cadena falsas positivas que son decenas de miles de caracteres.

En lugar de cadenas terminadas nulas, GO usa una estructura de cadena que consiste en un puntero y un valor de longitud. Muchas de estas estructuras de cadenas se crean en la pila del programa en tiempo de ejecución, por lo que recuperar las ubicaciones de inicio de cadena individual y los valores de longitud requiere analizar el código de máquina compilado. Hay algunos scripts existentes que realizan este análisis verificando ciertos patrones de instrucciones x86-64, pero pierden estructuras creadas con variaciones no controladas de instrucciones que finalmente tienen el mismo efecto en la pila, y también están restringidos a un ISA específico.

Ghostrings evita ambos problemas trabajando con las operaciones simplificadas de código P independientes de arquitectura producidas por el análisis del descompilador de Ghidra.

Copyright 2022 NCC Group. Liberado bajo la licencia GPLV3 (ver Licencia).

Autor del proyecto principal: James Chambers [email protected]