ghostrings

Scripts pour récupérer les définitions de chaînes dans des binaires GO avec analyse du code p. Testé avec x86, x86-64, ARM et ARM64.

Ceux-ci peuvent être trouvés dans la catégorie Golang dans le gestionnaire de scripts.

• GoDynamicStrings.java
  • Analyse le code P pour trouver des structures de chaîne créées sur la pile. Utilise l'analyse de style "registre" de niveau inférieur.
• GoFuncCallStrings.java
  • Analyser le code P pour trouver des structures de chaîne transmises directement aux appels de fonction via des registres, sans être écrit à la pile. Utilise une analyse de style "normaliser" avec le nouveau support de Golang intégré de Ghidra (voir les notes de version Ghidra pour les versions de Golang prises en charge).
• GoStaticStrings.java
  • Trouvez GO STRUCTURES STRATUES STATIQUES ALLOCÉS DANS LA MÉMOIRE DE RECHERNEMENT.
• GoKnownStrings.java
  • Recherche des chaînes uniques standard et les définit. Les données de chaîne sont chargées à partir data/known_strings.json .
• GoStringFiller.java
  • Comble les lacunes dans go.string.* Après l'analyse initiale, basée sur l'ordre de longueur ascendant des données de chaîne.

Il existe également quelques variations spéciales du script d'analyse de chaîne dynamique:

• GoDynamicStringsSingle.java
  • Effectue la même analyse que GoDynamicStrings.java , mais utilise un seul processus de décompilateur. Utilisez-le si l'analyse d'un binaire provoque les processus de décompilateur parallèle à épuiser la mémoire du système.
• GoDynamicStringsHigh.java
  • Expérimental, utilise la sortie du code P de l'analyse de style "normaliser" de niveau supérieur. Cela dépend actuellement d'un piratage qui désactive l'élimination de la code d'atelier dans le décompilateur (voir https://research.nccgroup.com/2022/05/20/earlyremoval-in-the-canservatory-with-the-wrench/). Ce piratage se casse dans Ghidra 10.2.

Cela peut être trouvé dans la catégorie PCODE dans le gestionnaire de scripts.

• PrintHighPCode.java
  • Imprime la sortie du code P élevé pour la fonction actuellement sélectionnée à la console, avec un sélecteur pour le style de simplification du décompilateur à utiliser. Principalement utilisé pour développer des scripts d'analyse du code P.

Voici le flux général pour l'utilisation de ces scripts pour récupérer les définitions de chaîne dans un binaire Go:

1. Effacez toutes les chaînes incorrectes ou définies automatiquement dans le bloc de mémoire de données en lecture seule.
   • Dans la fenêtre "Strings définis", activez la colonne "Block MEM" et le filtre par bloc de mémoire pour sélectionner toutes les chaînes dans .rodata , .rdata ou __rodata . Cliquez ensuite avec le bouton droit dans la liste des codes et choisissez "Effacer les octets de code".
2. (Facultatif) Exécutez GoKnownStrings.java pour détecter certaines chaînes standard.
3. Exécutez GoStaticStrings.java .
4. Exécutez GoFuncCallStrings.java (si la version binaire de Golang est prise en charge par les fonctionnalités de Golang intégrées de Ghidra) .
5. Exécuter GoDynamicStrings.java .
6. Exécutez GoStringFiller.java .
   • S'il détecte une violation de l'ordre de longueur de longueur ascendante des données de chaîne, effacez toutes les définitions de chaîne fausses positives dans ce domaine et réécoutez le script. Il existe une option pour le faire automatiquement.
   • Si le binaire est dépouillé, localisez la zone d'un octet des chaînes d'octets trouvées par le script Dynamic Strings. Assurez-vous que c'est le début des chaînes groupées non terminées non-terminales (plus de chaînes doivent être définies après la longueur de l'ordre croissant). Créez l'étiquette go.string.* Au premier byte une chaîne d'octet.
7. Vérifiez les lacunes restantes dans go.string.* , Et définissez toutes les chaînes avec des points de début et d'évaluation évidents.
   • Pour tirer le meilleur parti de GoStringFiller.java , identifiez où les longueurs de chaîne changent dans les données de chaîne non définies et définissez les chaînes les plus proches de cette limite. Ensuite, réévaluez GoStringFiller.java pour remplir automatiquement les points où il peut déterminer correctement la longueur des cordes non définies restantes.
8. (Facultatif) Renquez l'outil d'analyse de chaîne ASCII intégrée de Ghidra.
   • Désactiver l'écrasement des chaînes existantes. Exécutez avec puis sans l'exigence de terminateur nul.

En Ghidra:

1. Fichier -> Installer Extensions -> Ajouter une extension
2. Sélectionnez le fichier zip d'extension

Pour l'éclipse avec le plugin Ghidradev:

1. Repo clone
2. Fichier -> Import -> Projets à partir de dossier ou d'archive
3. Sélectionner le répertoire Repo
4. Ghidradev -> lien ghidra ...
5. Sélectionnez le projet importé

Construire avec Eclipse:

• Ghidradev -> Exportation -> Extension du module Ghidra ...

Construisez directement avec Gradle:

$ cd Ghostrings
$ gradle -PGHIDRA_INSTALL_DIR= < ghidra_install_dir > 

Un problème bien connu avec les programmes de GO ingénierie est que le manque de terminateurs nuls dans les chaînes GO rend difficile les définitions de chaînes de réduction des binaires compilées. Beaucoup de valeurs de chaîne constantes d'un programme GO sont stockées ensemble dans un blob géant dans la version compilée, sans aucun caractères de terminateur intégrée dans les données de chaîne pour marquer où une chaîne se termine et une autre commence. Même un programme simple qui imprime "Hello World!" Poste plus de 1 500 chaînes en ce qui concerne le système d'exécution GO et d'autres bibliothèques standard. Cela peut provoquer des implémentations typiques de découverte de chaîne ASCII, comme celle fournie par Ghidra, pour créer des définitions de chaînes fausses positives qui représentent des dizaines de milliers de caractères.

Au lieu de chaînes terminées nulles, GO utilise une structure de chaîne qui se compose d'un pointeur et d'une valeur de longueur. Beaucoup de ces structures de chaîne sont créées sur la pile du programme lors de l'exécution, donc récupérer les emplacements de démarrage de la chaîne individuelle et les valeurs de longueur nécessite l'analyse du code machine compilé. Il existe quelques scripts existants qui effectuent cette analyse en vérifiant certains modèles d'instructions x86-64, mais ils manquent les structures créées avec des variations non perdues d'instructions qui ont finalement le même effet sur la pile, et elles sont également limitées à une ISA spécifique.

Ghostrings évite les deux problèmes en travaillant avec les opérations simplifiées et indépendantes de l'architecture produites par l'analyse du décompilateur de Ghidra.

Copyright 2022 NCC Group. Libéré sous la licence GPLV3 (voir la licence).

Auteur du projet principal: James Chambers [email protected]