ghostrings

Scripts para recuperar definições de string em binários GO com análise de código P. Testado com x86, x86-64, braço e braço64.

Eles podem ser encontrados na categoria Golang no gerente de scripts.

• GoDynamicStrings.java
  • Analisa o código P para encontrar estruturas de string criadas na pilha. Usa a análise de estilo "registro" de nível mais baixo.
• GoFuncCallStrings.java
  • Analise o código p para encontrar estruturas de string passadas diretamente para as chamadas de função via registros, sem ser gravada na pilha. Utiliza análise de estilo "normalizando" com o novo suporte de Golang de Ghidra (consulte Notas de lançamento de Ghidra para versões de Golang suportadas).
• GoStaticStrings.java
  • Encontre as estruturas de string Go Staticamente alocadas na memória somente leitura.
• GoKnownStrings.java
  • Procura seqüências únicas padrão e as define. Os dados da string são carregados de data/known_strings.json .
• GoStringFiller.java
  • Preenche lacunas no go.string.* Após a análise inicial, com base na ordem de comprimento ascendente dos dados da string.

Existem também algumas variações especiais do script de análise dinâmica de string:

• GoDynamicStringsSingle.java
  • Executa a mesma análise que GoDynamicStrings.java , mas usa um único processo de decompilador. Use isso se a análise de um binário fizer com que os processos do decompilador paralelo na memória do sistema de escape.
• GoDynamicStringsHigh.java
  • Experimental, usa a saída do código P da análise de estilo "normalizada" de nível superior. Atualmente, depende de um hack que deslige a eliminação do código Deads no decompilador (consulte https://research.nccgroup.com/2022/05/20/earlyRemoval-in-theconservatory-with-the-wrench/). Este hack quebra em Ghidra 10.2.

Isso pode ser encontrado na categoria PCODE no gerenciador de scripts.

• PrintHighPCode.java
  • Imprime a saída alta do código P para a função atualmente selecionada no console, com um seletor para o estilo de simplificação do decompilador usar. Usado principalmente para desenvolver scripts de análise de código P.

Aqui está o fluxo geral para o uso desses scripts para recuperar definições de string em um binário Go:

1. Limpe todas as seqüências incorretas ou definidas automaticamente no bloco de memória de dados somente leitura.
   • Na janela "Strings definidos", habilite a coluna e o filtro de bloco "Mem" por bloco de memória para selecionar todas as seqüências de strings em .rodata , .rdata ou __rodata . Em seguida, clique com o botão direito do mouse na lista de código e escolha "Clear Code Bytes".
2. (Opcional) Execute GoKnownStrings.java para detectar algumas seqüências padrão.
3. Run GoStaticStrings.java .
4. Run GoFuncCallStrings.java (se a versão binária de Golang for suportada pelos recursos de Golang de Ghidra) .
5. Run GoDynamicStrings.java .
6. Run GoStringFiller.java .
   • Se ele detectar uma violação da ordem de comprimento ascendente dos dados da string, limpe as definições de strings falsas positivas nessa área e execute novamente o script. Existe uma opção para fazer isso automaticamente.
   • Se o binário for despojado, localize a área de strings de um byte encontrada pelo script dinâmico. Certifique-se de que é o início do agrupado, seqüências de cordas sem terminação nula (mais cordas devem ser definidas após o comprimento em ordem ascendente). Crie o rótulo go.string.* Na primeira string de byte.
7. Verifique as lacunas restantes no go.string.*
   • Para fazer o maior uso do GoStringFiller.java , identifique onde os comprimentos da string estão mudando nos dados indefinidos da string e defina as cordas mais próximas a esse limite. Em seguida, reencontre GoStringFiller.java para preencher automaticamente os pontos, onde pode determinar corretamente o comprimento das seqüências indefinidas restantes.
8. (Opcional) Renusei a ferramenta de análise de string ASCII embutida de Ghidra.
   • Desative a substituição de cordas existentes. Corra com e depois sem o requisito do Terminator Nulo.

Em Ghidra:

1. Arquivo -> Instalar extensões -> Adicionar extensão
2. Selecione o arquivo zip de extensão

Para eclipse com plugin ghidradev:

1. Repo Clone
2. Arquivo -> Importar -> Projetos da pasta ou arquivo
3. Selecione o diretório repo
4. Ghidradev -> link ghidra ...
5. Selecione Projeto importado

Construa com Eclipse:

• Ghidradev -> Exportar -> Extensão do módulo Ghidra ...

Construa diretamente com Gradle:

$ cd Ghostrings
$ gradle -PGHIDRA_INSTALL_DIR= < ghidra_install_dir > 

Um problema bem conhecido com os programas de engenharia reversa é que a falta de terminadores nulos em Strings Go dificulta a recuperação das definições de string de binários compilados. Muitos dos valores de string constantes de um programa GO são armazenados juntos em uma bolha gigante na compilação compilada, sem que nenhum caractere terminador incorporado nos dados da string para marcar onde uma string termina e outra começa. Até um programa simples que apenas imprime "Hello World!" Possui mais de 1.500 strings relacionadas ao sistema de tempo de execução Go e a outras bibliotecas padrão. Isso pode causar implementações típicas de descoberta de cordas ASCII, como a fornecida por Ghidra, para criar definições de strings positivas falsas positivas que são dezenas de milhares de caracteres de comprimento.

Em vez de strings terminados null, o GO usa uma estrutura de string que consiste em um valor de ponteiro e comprimento. Muitas dessas estruturas de string são criadas na pilha do programa em tempo de execução; portanto, a recuperação de localizações individuais de string e valores de comprimento requer analisar o código da máquina compilado. Existem alguns scripts existentes que executam essa análise verificando certos padrões de instruções x86-64, mas perdem estruturas criadas com variações não tratadas de instruções que acabam tendo o mesmo efeito na pilha e também são restritas a um ISA específico.

Os Ghostrings evitam esses dois problemas trabalhando com as operações simplificadas de código P independentes da arquitetura produzidas pela análise do decompilador de Ghidra.

Copyright 2022 NCC Group. Liberado sob a licença GPLV3 (consulte a licença).

Autor do projeto principal: James Chambers [email protected]