ghostrings

Script untuk memulihkan definisi string di Binari GO dengan analisis P-code. Diuji dengan x86, x86-64, ARM, dan ARM64.

Ini dapat ditemukan dalam kategori Golang di manajer skrip.

• GoDynamicStrings.java
  • Menganalisis p-code untuk menemukan struktur string yang dibuat pada tumpukan. Menggunakan analisis gaya "register" level bawah.
• GoFuncCallStrings.java
  • Analisis P-Code untuk menemukan struktur string yang dilewatkan langsung ke panggilan fungsi melalui register, tanpa ditulis ke tumpukan. Menggunakan analisis gaya "menormalkan" dengan dukungan Golang bawaan baru Ghidra (lihat catatan rilis Ghidra untuk versi Golang yang didukung).
• GoStaticStrings.java
  • Temukan GO String Struktur yang dialokasikan secara statis dalam memori baca saja.
• GoKnownStrings.java
  • Mencari string unik standar dan mendefinisikannya. Data string dimuat dari data/known_strings.json .
• GoStringFiller.java
  • Mengisi celah di go.string.* Setelah analisis awal, berdasarkan urutan panjang naik data string.

Ada juga beberapa variasi khusus dari skrip analisis string dinamis:

• GoDynamicStringsSingle.java
  • Melakukan analisis yang sama dengan GoDynamicStrings.java , tetapi menggunakan proses penguraian tunggal. Gunakan ini jika menganalisis biner menyebabkan proses dekompiler paralel ke memori sistem buang.
• GoDynamicStringsHigh.java
  • Eksperimental, menggunakan output P-code dari analisis gaya "menormalkan" tingkat yang lebih tinggi. Saat ini tergantung pada peretasan yang mematikan eliminasi deadcode di dekompiler (lihat https://research.nccgroup.com/2022/05/20/arlyremoval-in-the-conservatory-with-the-wrench/). Hack ini istirahat di Ghidra 10.2.

Ini dapat ditemukan dalam kategori PCODE di manajer skrip.

• PrintHighPCode.java
  • Mencetak output P-code tinggi untuk fungsi yang saat ini dipilih ke konsol, dengan pemilih untuk gaya penyederhanaan dekompiler untuk digunakan. Terutama digunakan untuk mengembangkan skrip analisis P-code.

Berikut aliran umum untuk menggunakan skrip ini untuk memulihkan definisi string dalam biner go:

1. Hapus semua string yang salah atau ditentukan secara otomatis di blok memori data hanya baca.
   • Di jendela "String yang Ditentukan", aktifkan kolom "MEM Block" dan filter dengan blok memori untuk memilih semua string di .rodata , .rdata , atau __rodata . Kemudian klik kanan dalam daftar kode dan pilih "Hapus Bytes Kode".
2. (Opsional) Jalankan GoKnownStrings.java untuk mendeteksi beberapa string standar.
3. Jalankan GoStaticStrings.java .
4. Jalankan GoFuncCallStrings.java (jika versi biner Golang didukung oleh fitur Golang bawaan Ghidra) .
5. Jalankan GoDynamicStrings.java .
6. Jalankan GoStringFiller.java .
   • Jika mendeteksi pelanggaran urutan panjang menaik data string, hapus definisi string positif palsu di area itu dan ikuti kembali skrip. Ada opsi untuk melakukan ini secara otomatis.
   • Jika biner dilucuti, temukan area satu byte string yang ditemukan oleh skrip string dinamis. Pastikan ini adalah awal dari string yang dikelompokkan bersama-sama (lebih banyak string harus ditentukan setelah dengan panjang dalam urutan naik). Buat label go.string.* Pada string byte satu pertama.
7. Periksa sisa celah di go.string.* , Dan tentukan string apa pun dengan titik awal dan akhir yang jelas.
   • Untuk memanfaatkan GoStringFiller.java yang paling banyak, identifikasi di mana panjang string berubah dalam data string yang tidak terdefinisi dan tentukan string yang paling dekat dengan batas itu. Kemudian menjalankan kembali GoStringFiller.java untuk secara otomatis mengisi bintik-bintik di mana ia dapat dengan benar menentukan panjang string yang tidak terdefinisi dengan benar.
8. (Opsional) menjalankan kembali alat analisis string ASCII built-in Ghidra.
   • Nonaktifkan menimpa string yang ada. Jalankan dengan dan kemudian tanpa persyaratan Null Terminator.

Di Ghidra:

1. File -> Instal Ekstensi -> Tambahkan ekstensi
2. Pilih file zip ekstensi

Untuk Eclipse dengan plugin Ghidradev:

1. Klon Repo
2. File -> impor -> proyek dari folder atau arsip
3. Pilih Direktori Repo
4. Ghidradev -> Link Ghidra ...
5. Pilih proyek yang diimpor

Bangun dengan Eclipse:

• Ghidradev -> Ekspor -> Ekstensi Modul Ghidra ...

Bangun langsung dengan Gradle:

$ cd Ghostrings
$ gradle -PGHIDRA_INSTALL_DIR= < ghidra_install_dir > 

Masalah terkenal dengan program Reverse Engineering GO adalah bahwa kurangnya terminator nol dalam string GO membuat definisi string yang pulih dari biner yang dikompilasi menjadi sulit. Banyak nilai string konstan program GO disimpan bersama dalam satu gumpalan raksasa dalam build yang dikompilasi, tanpa karakter terminator yang dibangun ke dalam data string untuk menandai di mana satu string berakhir dan yang lain dimulai. Bahkan program sederhana yang hanya mencetak "Hello World!" memiliki lebih dari 1.500 string di dalamnya terkait dengan sistem runtime go dan perpustakaan standar lainnya. Hal ini dapat menyebabkan implementasi penemuan string ASCII yang khas, seperti yang disediakan oleh Ghidra, untuk membuat definisi string positif palsu yang panjangnya puluhan ribu karakter.

Alih -alih string yang diakhiri nol, GO menggunakan struktur string yang terdiri dari pointer dan nilai panjang. Banyak dari struktur string ini dibuat pada tumpukan program saat runtime, sehingga memulihkan lokasi start string individual dan nilai panjang membutuhkan menganalisis kode mesin yang dikompilasi. Ada beberapa skrip yang ada yang melakukan analisis ini dengan memeriksa pola tertentu dari instruksi x86-64, tetapi mereka kehilangan struktur yang dibuat dengan variasi instruksi yang tidak ditangani yang pada akhirnya memiliki efek yang sama pada tumpukan, dan mereka juga terbatas pada ISA tertentu.

Ghostrings menghindari kedua masalah ini dengan bekerja dengan operasi p-code independen arsitektur yang disederhanakan yang diproduksi oleh analisis dekompiler Ghidra.

Hak Cipta 2022 NCC Group. Dirilis di bawah lisensi GPLV3 (lihat lisensi).

Penulis Proyek Utama: James Chambers [email protected]