BinAbsInspector

Binabsinspector (Binary Abstract Inspector)는 Keenlab에서 인큐베이션 된 장기 연구 프로젝트 인 Binaries의 자동화 된 역 엔지니어링 및 스캐닝 취약점을위한 정적 분석기입니다. 그것은 Ghidra의 지원으로 추상적 해석을 기반으로합니다. 어셈블리 대신 Ghidra의 PCode에서 작동합니다. 현재 X86, X64, ARMV7 및 AARCH64의 바이너리를 지원합니다.

• Ghidra의 문서에 따라 Ghidra를 설치하십시오
• Z3 설치 (테스트 버전 : 4.8.15)
• 일반적으로 Z3 라이브러리에는 두 부분이 있습니다. 하나는 Java 패키지이고 다른 하나는 기본 라이브러리입니다. Java 패키지는 이미 "/lib"디렉토리에 포함되어 있지만 버전 호환성을 위해 자신의 Java 패키지로 교체하는 것이 좋습니다.
  • Windows의 경우 여기에서 사전 제작 된 패키지를 다운로드하고 zip 파일을 추출하고 z3-${version}-win/bin 을 가리키는 경로 환경 변수를 추가하십시오.
  • Linux의 경우 패키지 관리자와 함께 설치하는 것이 권장되지 않으므로 두 가지 옵션이 있습니다.
    1. 여기에서 적절한 사전 건축 패키지를 다운로드하고 zip 파일을 추출하고 z3-${version}-glibc-${version}/bin/*.so to /usr/local/lib/ 복사 할 수 있습니다.
    2. 또는 Make 및 GCC/Clang을 사용하여 Z3 빌딩에 따라 Z3을 빌드하고 설치할 수 있습니다.
  • MacOS의 경우 Linux와 유사합니다.
• 릴리스 페이지에서 Extension Zip 파일을 다운로드하십시오
• Ghidra 확장 노트에 따라 확장자를 설치하십시오

새로운 기능을 개발하려면 직접 확장을 구축하십시오. 개발 안내서를 참조하십시오.

• Ghidra와 Z3을 설치하십시오
• Gradle 7.x 설치 (테스트 버전 : 7.4)
• 저장소를 당깁니다
• 저장소 루트에서 gradle buildExtension 실행하십시오
• 확장자는 dist/${GhidraVersion}_${date}_BinAbsInspector.zip 에서 생성됩니다

헤드리스 모드, GUI 모드 또는 Docker에서 Binabsinspector를 실행할 수 있습니다.

• Ghidra 헤드리스 모드.

 $GHIDRA_INSTALL_DIR/support/analyzeHeadless <projectPath> <projectName> -import <file> -postScript BinAbsInspector "@@<scriptParams>"

<projectPath> - Ghidra 프로젝트 경로.
<projectName> - GHIDRA 프로젝트 이름.
<scriptParams> - 분석기의 인수는 다음 옵션을 제공합니다.

• Ghidra Gui와 함께

  1. Ghidra를 실행하고 대상 바이너리를 프로젝트로 가져옵니다.
  2. 기본 설정으로 바이너리를 분석하십시오
  3. 분석이 완료되면 Window -> Script Manager 열고 BinAbsInspector.java 찾으십시오.
  4. BinAbsInspector.java 항목을 두 번 클릭하고 구성 창에서 매개 변수를 설정하고 확인을 클릭하십시오.
  5. 분석이 완료되면 콘솔 창에서 CWE 보고서를 볼 수 있으며 보고서의 주소를 두 번 클릭하면 해당 주소로 이동할 수 있습니다.

• Docker와 함께

git clone [email protected]:KeenSecurityLab/BinAbsInspector.git
cd BinAbsInspector
docker build . -t bai
docker run -v $( pwd ) :/data/workspace bai " @@<script parameters> " -import < file >

지금까지 Binabsinspector는 다음 체커를 지원합니다.

• CWE78 (OS 명령 주입)
• CWE119 (버퍼 오버플로 (일반 케이스))
• CWE125 (버퍼 오버플로 (바운드 외 읽기))
• CWE134 (외부 제어 형식 문자열 사용)
• CWE190 (정수 오버플로 또는 랩 어라운드)
• CWE367 (체크 시간 시간 (TOCTOU))
• CWE415 (Double Free)
• CWE416 (무료 후 사용)
• CWE426 (신뢰할 수없는 검색 경로)
• CWE467 (포인터 유형에서 sizeof () 사용)
• CWE476 (NULL 포인터 DEREFERENCE)
• CWE676 (잠재적으로 위험한 기능 사용)
• CWE787 (버퍼 오버플로 (바운드 외 쓰기)))

이 프로젝트의 구조는 다음과 같습니다. 자세한 내용은 기술 세부 사항 또는 중국어 버전 기사를 참조하십시오.

 ├── main
│   ├── java
│   │   └── com
│   │       └── bai
│   │           ├── checkers                       checker implementatiom
│   │           ├── env
│   │           │   ├── funcs                      function modeling
│   │           │   │   ├── externalfuncs          external function modeling
│   │           │   │   └── stdfuncs               cpp std modeling
│   │           │   └── region                     memory modeling
│   │           ├── solver                         analyze core and grpah module
│   │           └── util                           utilities
│   └── resources
└── test

gradle javadoc 사용하여 Javadoc을 구축 할 수 있습니다. API 문서는 ./build/docs/javadoc 에서 생성됩니다.

우리는 Ghidra를 기초로 사용하고 더 나은 성능을 위해 Jimmutable 컬렉션을 자주 활용합니다.
여기서 우리는 그들의 큰 도움에 감사하고 싶습니다!