ghostrings

P 코드 분석을 통해 Go Binaries에서 문자열 정의를 복구하기위한 스크립트. X86, X86-64, ARM 및 ARM64로 테스트.

이것들은 스크립트 관리자의 Golang 카테고리에서 찾을 수 있습니다.

• GoDynamicStrings.java
  • P 코드를 분석하여 스택에서 생성 된 문자열 구조를 찾습니다. 하위 레벨 "레지스터"스타일 분석을 사용합니다.
• GoFuncCallStrings.java
  • P 코드를 분석하여 스택에 기록되지 않고 레지스터를 통해 기능 호출로 직접 전달 된 문자열 구조를 찾으십시오. Ghidra의 새로운 내장 Golang 지원으로 "정상화"스타일 분석을 사용합니다 (지원되는 Golang 버전은 Ghidra 릴리스 노트 참조).
• GoStaticStrings.java
  • 읽기 전용 메모리에 정적으로 할당 된 Go 문자열 구조를 찾으십시오.
• GoKnownStrings.java
  • 표준 독특한 문자열을 검색하고 정의합니다. 문자열 데이터는 data/known_strings.json 에서로드됩니다.
• GoStringFiller.java
  • 문자열 데이터의 오름차순 길이 순서를 기반으로 초기 분석 후 go.string.*

동적 문자열 분석 스크립트에는 몇 가지 특별한 변형이 있습니다.

• GoDynamicStringsSingle.java
  • GoDynamicStrings.java 와 동일한 분석을 수행하지만 단일 디 컴파일러 프로세스를 사용합니다. 이진을 분석하면 병렬 디 컴파일러 프로세스가 시스템 메모리를 배출하는 경우이를 사용하십시오.
• GoDynamicStringsHigh.java
  • 실험적으로, 더 높은 수준의 "정상화"스타일 분석에서 P 코드 출력을 사용합니다. 현재 디 컴파일러에서 데드 코드 제거를 해제하는 핵에 따라 다릅니다 (https://research.nccgroup.com/2022/05/20/earlyRemoval--the-conservatory-withthe-wrench/ 참조). 이 해킹은 Ghidra 10.2에서 중단됩니다.

스크립트 관리자의 PCODE 범주에서 찾을 수 있습니다.

• PrintHighPCode.java
  • 현재 선택된 기능에 대한 높은 P 코드 출력을 인쇄하고 디 컴파일러 단순화 스타일을위한 선택기를 사용합니다. 주로 P 코드 분석 스크립트를 개발하는 데 사용됩니다.

다음은이 스크립트를 사용하여 Go Binary에서 문자열 정의를 복구하는 일반적인 흐름입니다.

1. 읽기 전용 데이터 메모리 블록에서 모든 잘못되거나 자동으로 정의 된 문자열을 지우십시오.
   • "정의 된 문자열"창에서 메모리 블록 별 "Mem Block"열 및 필터를 활성화하여 .rodata , .rdata 또는 __rodata 에서 모든 문자열을 선택하십시오. 그런 다음 코드 목록을 마우스 오른쪽 버튼으로 클릭하고 "Clear Code Bytes"를 선택하십시오.
2. (선택 사항) GoKnownStrings.java 실행하여 일부 표준 문자열을 감지하십시오.
3. GoStaticStrings.java 실행하십시오.
4. GoFuncCallStrings.java 실행하십시오 (Golang 이진 버전이 Ghidra의 내장 Golang 기능에 의해 지원되는 경우) .
5. GoDynamicStrings.java 실행하십시오.
6. GoStringFiller.java 실행하십시오.
   • 문자열 데이터의 오름차순 길이 순서의 위반을 감지하면 해당 영역에서 잘못된 양의 문자열 정의를 지우고 스크립트를 다시 실행하십시오. 이를 자동으로 수행 할 수있는 옵션이 있습니다.
   • 이진이 제거되면 Dynamic Strings 스크립트에서 찾은 바이트 스트링의 영역을 찾으십시오. 널리시되지 않은 문자열이 함께 그룹화 된 시작인지 확인하십시오 (오름차순으로 길이가 지나면 더 많은 문자열이 정의되어야합니다). 레이블을 만듭니다 go.string.*
7. go.string.* 의 나머지 간격을 확인하고 명백한 시작 및 종말점이있는 문자열을 정의하십시오.
   • GoStringFiller.java 를 가장 많이 사용하려면 정의되지 않은 문자열 데이터에서 문자열 길이가 어디에서 변경되는지 식별하고 해당 경계에 가장 가까운 문자열을 정의하십시오. 그런 다음 GoStringFiller.java 다시 실행하여 나머지 정의되지 않은 문자열의 길이를 올바르게 결정할 수있는 지점을 자동으로 채 웁니다.
8. (선택 사항) GHIDRA의 내장 ASCII 문자열 분석 도구를 다시 실행합니다.
   • 기존 문자열을 덮어 쓰는 것을 비활성화합니다. 널 터미네이터 요구 사항없이 실행하십시오.

Ghidra에서 :

1. 파일 -> 확장자 설치 -> 확장자 추가
2. 확장자 zip 파일을 선택하십시오

Ghidradev 플러그인이있는 Eclipse :

1. 복제 레포
2. 파일 -> 가져 오기 -> 폴더 또는 아카이브에서 프로젝트
3. Repo 디렉토리를 선택하십시오
4. Ghidradev-> Link Ghidra ...
5. 수입 프로젝트를 선택하십시오

일식으로 빌드 :

• ghidradev-> 내보내기 -> ghidra 모듈 확장 ...

Gradle과 직접 빌드 :

$ cd Ghostrings
$ gradle -PGHIDRA_INSTALL_DIR= < ghidra_install_dir > 

리버스 엔지니어링 GO 프로그램의 잘 알려진 문제는 GO 스트링에 널 터미네이터가 부족하여 컴파일 된 바이너리에서 문자열 정의를 복구하는 것이 어렵다는 것입니다. 많은 GO 프로그램의 상수 문자열 값은 문자열 데이터에 내장 된 터미네이터 문자없이 컴파일 된 빌드의 하나의 거대한 블로브에 함께 저장되어 하나의 문자열이 끝나고 다른 문자열이 시작됩니다. "Hello World!" GO 런타임 시스템 및 기타 표준 라이브러리와 관련된 1,500 개 이상의 문자열이 있습니다. 이로 인해 GHIDRA가 제공 한 것과 같은 일반적인 ASCII 문자열 발견 구현은 수만 문자 길이의 허위 양수 문자열 정의를 생성 할 수 있습니다.

NULL 종료 문자열 대신 GO는 포인터 및 길이 값으로 구성된 문자열 구조를 사용합니다. 이러한 문자열 구조 중 다수는 런타임시 프로그램의 스택에 생성되므로 개별 문자열 시작 위치 및 길이 값을 복구하려면 컴파일 된 기계 코드를 분석해야합니다. 특정 패턴의 X86-64 지침을 확인 하여이 분석을 수행하는 몇 가지 기존 스크립트가 있지만, 결국 스택에 동일한 영향을 미치는 처리되지 않은 지침으로 생성 된 구조를 놓치며 특정 ISA로 제한됩니다.

GHOSTRINGS는 GHIDRA의 디 컴파일러 분석에서 생성 한 단순화 된 아키텍처 독립적 인 P 코드 작업을 통해 이러한 문제를 모두 피합니다.

저작권 2022 NCC 그룹. GPLV3 라이센스에 따라 릴리스 (라이센스 참조).

주요 프로젝트 저자 : James Chambers [email protected]