ghostrings

Pコード分析を備えたGOバイナリで文字列定義を回復するためのスクリプト。 X86、X86-64、ARM、およびARM64でテストしました。

これらは、スクリプトマネージャーのGolangカテゴリにあります。

• GoDynamicStrings.java
  • Pコードを分析して、スタックで作成された文字列構造を見つけます。低レベルの「レジスタ」スタイル分析を使用します。
• GoFuncCallStrings.java
  • Pコードを分析して、スタックに書き込まずに、レジスタを介して関数呼び出しに直接渡された文字列構造を見つけます。 Ghidraの新しい組み込みGolangサポートを使用して「正規化」スタイル分析を使用します（サポートされているGolangバージョンについては、Ghidraリリースノートを参照）。
• GoStaticStrings.java
  • 読み取り専用メモリで静的に割り当てられたGo String構造を見つけます。
• GoKnownStrings.java
  • 標準の一意の文字列を検索し、それらを定義します。文字列データはdata/known_strings.jsonからロードされます。
• GoStringFiller.java
  • go.string.*最初の分析後、文字列データの昇順の長さの順序に基づいています。

動的文字列分析スクリプトの特別なバリエーションもいくつかあります。

• GoDynamicStringsSingle.java
  • GoDynamicStrings.javaと同じ分析を実行しますが、単一の分解プロセスを使用します。バイナリを分析すると、並列処方プロセスがシステムメモリを排出する場合にこれを使用します。
• GoDynamicStringsHigh.java
  • 実験的には、高レベルの「正規化」スタイル分析からのPコード出力を使用します。現在、decompilerのデッドコードエリミネーションをオフにするハックに依存しています（https://research.nccgroup.com/2022/05/20/earlyremoval-in-the-conservatory-with-the-with-the-the-the-the-conservatoryを参照）。このハックはギドラ10.2で壊れます。

これは、スクリプトマネージャーのPCODEカテゴリにあります。

• PrintHighPCode.java
  • 現在選択されている関数の高いPコード出力をコンソールに印刷し、使用する逆コンパイラの簡素化スタイルのセレクターを使用します。主にPコード分析スクリプトの開発に使用されます。

これらのスクリプトを使用してGOバイナリで文字列定義を回復するための一般的なフローは次のとおりです。

1. 読み取り専用のデータメモリブロックで、すべての誤ったまたは自動的に定義された文字列をクリアします。
   • 「定義された文字列」ウィンドウで、「MEMブロック」列を有効にし、メモリブロックでフィルターを使用して.rodata 、 .rdata 、または__rodataのすべての文字列を選択します。次に、コードリストを右クリックして、「クリアコードバイト」を選択します。
2. （オプション） GoKnownStrings.javaを実行して、いくつかの標準文字列を検出します。
3. GoStaticStrings.javaを実行します。
4. GoFuncCallStrings.javaを実行します（GolangバイナリバージョンがGhidraの組み込みGolang機能によってサポートされている場合） 。
5. GoDynamicStrings.javaを実行します。
6. GoStringFiller.javaを実行します。
   • 文字列データの昇順の長さの順序の違反を検出した場合、その領域の誤検知陽性の文字列定義をクリアし、スクリプトを再実行します。これを自動的に行うオプションがあります。
   • バイナリが剥がれた場合、動的文字列スクリプトで見つかった1つのバイト文字列の面積を見つけます。グループ化された非ヌル末端の文字列の開始であることを確認します（昇順で長さでその後、より多くの文字列を定義する必要があります）。ラベルgo.string.*最初の1バイト文字列で作成します。
7. go.string.*の残りのギャップを確認し、明らかな開始点とエンドポイントを持つ文字列を定義します。
   • GoStringFiller.javaを最大限に活用するには、未定義の文字列データの文字列の長さがどこに変化しているかを特定し、その境界に最も近い文字列を定義します。次に、 GoStringFiller.javaを再実行して、残りの未定義の文字列の長さを正しく決定できるスポットを自動的に埋めます。
8. （オプション） Ghidraの組み込みASCIIストリング分析ツールを再実行します。
   • 既存の文字列の上書きを無効にします。 nullターミネーターの要件で実行してから実行します。

ギドラで：

1. ファイル - >拡張機能をインストール - >拡張機能を追加します
2. 拡張機能zipファイルを選択します

Ghidradevプラグインを使用したEclipseの場合：

1. クローンリポジトリ
2. ファイル - >インポート - >フォルダーまたはアーカイブからのプロジェクト
3. リポジトリディレクトリを選択します
4. ghidradev-> link ghidra ...
5. インポートされたプロジェクトを選択します

Eclipseでビルド：

• Ghidradev-> Export-> Ghidraモジュール拡張機能...

Gradleで直接構築する：

$ cd Ghostrings
$ gradle -PGHIDRA_INSTALL_DIR= < ghidra_install_dir > 

リバースエンジニアリングGOプログラムの有名な問題は、GO文字列にヌルターミネーターが不足しているため、コンパイルされたバイナリからの文字列定義を回復することが困難になることです。 GOプログラムの一定の文字列値の多くは、コンパイルされたビルドの1つの巨大なブロブに一緒に保存されます。ターミネーター文字が文字列データに組み込まれて、1つの文字列が終了し、別の文字列が始まる場所をマークします。 「Hello World！」を印刷するだけのシンプルなプログラムでさえもGOランタイムシステムおよびその他の標準ライブラリに関連する1,500以上の文字列があります。これにより、Ghidraが提供するような典型的なASCII String Discoveryの実装により、数万文字の誤った肯定的な文字列定義が作成されます。

NULLの終了文字列の代わりに、GOはポインターと長さの値で構成される文字列構造を使用します。これらの文字列構造の多くは、実行時にプログラムのスタックに作成されるため、個々の文字列の開始場所と長さの値を回復するには、コンパイルされたマシンコードを分析する必要があります。 x86-64命令の特定のパターンをチェックすることでこの分析を実行する既存のスクリプトがいくつかありますが、最終的にはスタックに同じ効果をもたらす命令の未処理のバリエーションで作成された構造を見逃し、特定のISAにも制限されています。

GhoStringsは、Ghidraの逆コンパイラ分析によって生成された簡略化されたアーキテクチャに依存しないPコード操作と協力することにより、これらの両方の問題を回避します。

著作権2022 NCCグループ。 GPLV3ライセンスの下でリリースされます（ライセンスを参照）。

主なプロジェクト著者：James Chambers [email protected]