FindCrypt Ghidra

Ce projet est réduit car je ne peux pas le maintenir, veuillez vous référer aux fourches ou aux variations de ce projet comme celle-ci. N'hésitez pas à ouvrir un problème si vous souhaitez ajouter votre projet à la liste des travaux dérivés, avec une brève description

Alors que pendant des années, nous avons utilisé IDA Pro et ses incroyables plugins développés par son énorme communauté, Ghidra est sorti récemment (au moment de la rédaction) montrant beaucoup de potentiel et une conception modulaire incroyable pour la personnalisation à Python ou Java.

Comme la plupart d'entre vous le savent, FindCrypt, un plugin réalisé par Ilfak Guilfanov lui-même pour IDA, est essentiel pour trouver rapidement des références aux fonctions de cryptographie dans la cible et extrêmement utiles dans le domaine de l'ingénierie inverse.

J'essaie de déménager à Ghidra et la toute première chose que j'ai remarquée est à quel point le plugin est important pour moi, alors j'ai pris la responsabilité de la migrer, à Java, sans sacrifier aucune signature et essayer de l'améliorer également.

Ce logiciel est en cours d'élaboration et de test, si vous rencontrez un problème, veuillez passer dans la section des problèmes

1. Trouvez votre répertoire d'installation de Ghidra (par exemple "E: Inversion des logiciels Ghidra_9.0")
2. Déplacer "findcrypt.java" dans "ghidra features bytepatterns ghidra_scripts"
3. Déplacez "FindCrypt_Ghidra" (répertoire de base de données) dans "C: Users votre utilisateur"
4. Assurez-vous que Ghidra peut accéder au répertoire "FindCrypt_Ghidra" à la fois pour la lecture et l'écriture.

1. Trouvez votre répertoire d'installation de Ghidra (par exemple ~ / ghidra)
2. Déplacer "findcrypt.java" dans "~ / ghidra / fonctionnalités / bytepatterns / ghidra_scripts"
3. Déplacer "findCrypt_ghidra" (répertoire de base de données) dans ~ / (ou $ home)
4. Assurez-vous que Ghidra peut accéder au répertoire "~ / findcrypt_ghidra" à la fois pour la lecture et l'écriture.

Une fois que vous avez commencé votre projet et ouvert le démontrant, utilisez la fenêtre Script Manager et recherchez "FindCrypt.java", en double-cliquez ou en appuyant sur "Exécuter" exécutera le script et qu'un écran de résultat est affiché si quelque chose est trouvé.

La base de données est un fichier binaire que j'ai moi-même sérialisé, il est très facile à comprendre et très basique mais fonctionnel pour son objectif. La base de données contient toutes les 79 constantes d'algorithmes implémentées par Ilfak, aucun sacrifice n'a été fait lors de leur migration, tout en ajoutant de plus en plus par les contributeurs.

Il y a un total de 122 constantes détectables dans la base de données, liées à:

• Primitives brutes
  • Keccak (SHA-3)
• Courbes elliptiques
  • Donna32 (EC25519), Donna64 (EC25519)
• Stream Ciphers
  • Chacha, Salsa, Sosemanuk
• Bloquer les chiffres
  • Blowfish, Camellia, DES, Tripdes, RC2, Shark, Cast, Square, Wake, Skipjack, Hight, Kalyna, Lea, Seed, Schacal2, Simon-64, Simon-128, Tea / Tean / XEA / XXTEA
• Hachage des hachages
  • Whirlpool, MD2, MD4, MD5, SHA-1, SHA-256, SHA-384, SHA-512, TIGER, RIMEMD160, HAVAL, BLAKE2
• Famille AES
  • AES, RC5 / RC6, Mars, Twofish, Cast-256, GOST, SAFER
• Compression
  • Zrib

Pour inclure plus de constantes de votre choix, reportez-vous simplement au projet "fcexporter" et partagez peut-être aussi vos nouvelles entrées :)

Le script utilise désormais un système interne de mise à jour automatique synchronisé avec la dernière version de base de données de ce référentiel. La synchronisation centralisée du référentiel est activée par défaut, c'est pour s'assurer que l'utilisateur a toujours la dernière version possible et donc obtenir les meilleurs résultats du script, si vous souhaitez le désactiver:

1. Ouvrez le fichier "FindCrypt.java" et recherchez la variable '__force_no_dbupdate' (ligne 705).
2. Remplacez "false" par "vrai".

Bien que la base de données soit par conception modulaire et peut être mise à jour automatiquement, le script ne peut pas; Mais le script vérifiera la version actuelle et invitera l'utilisateur à vérifier cette dernière version du référentiel pour télécharger, avec la liste des modifications de la nouvelle version.

Le message de mise à jour du script est invite une seule fois par session.

Procédez pour télécharger la dernière version de "FindCrypt.java" et remplacez-la dans le répertoire de script de Ghidra.

De plus, cette fonctionnalité est activée par défaut, si vous souhaitez la désactiver, suivez les étapes mentionnées ci-dessus sur '__force_no_scriptUpDate' (ligne 707).

D3VIL401 - [email protected], d3vil401 # 7685 (Discord), https://d3vsite.org/

Ilfak Guilfanov - https://twitter.com/ilfak

NSA (Ghidra) - https://ghidra-sre.org/

GNU GPLV3 - Reportez-vous à "Licence"

Utilisation de crypto ++ - reportez-vous aux licences crypto ++. Txt