FindCrypt Ghidra

Este projeto é descontado, pois não consigo mantê -lo mantido, consulte os garfos ou variações deste projeto como este. Sinta -se à vontade para abrir um problema se desejar adicionar seu projeto à lista de trabalho derivado, com uma breve descrição

Enquanto durante anos usamos o IDA Pro e seus plugins incríveis desenvolvidos por sua enorme comunidade, Ghidra foi lançado recentemente (no momento da redação) mostrando muito potencial e um design modular incrível para personalização, tanto em Python quanto Java.

Como a maioria de vocês sabe, o FindCrypt, um plug -in fabricado por Ilfak Guilfanov para Ida, é essencial para encontrar rapidamente referências às funções de criptografia no alvo e extremamente úteis no campo da engenharia reversa.

Estou tentando me mudar para Ghidra e a primeira coisa que notei é o quão importante é o plugin para mim, então assumi a responsabilidade de migrá -lo, em Java, sem sacrificar nenhuma assinatura e tentar melhorá -la também.

Este software está sendo desenvolvido e testado, se você encontrar algum problema, prossiga na seção de problemas

1. Encontre seu diretório de instalação Ghidra (por exemplo, "E: revertendo os softwares ghidra_9.0")
2. Mova "findCrypt.java" para "ghidra características bytepatterns ghidra_scripts"
3. Mova "findCrypt_ghidra" (diretório de banco de dados) para "C: Usuários seu usuário"
4. Certifique -se de que a Ghidra possa acessar o diretório "findCrypt_ghidra", tanto para leitura quanto para escrever.

1. Encontre o seu diretório de instalação Ghidra (por exemplo, Ghidra)
2. Mova "findCrypt.java" em "~/ghidra/recursos/bytepatterns/ghidra_scripts"
3. Mova "findCrypt_ghidra" (diretório de banco de dados) para ~/ (ou $ home)
4. Certifique -se de que a Ghidra possa acessar o diretório "~/findCrypt_ghidra", tanto para ler quanto de escrita.

Depois de iniciar seu projeto e abrir o desmontador, use a janela do gerenciador de scripts e pesquise "findCrypt.java", clicando duas vezes ou pressionando "Run" executará o script e uma tela de resultado for mostrada se algo for encontrado.

O banco de dados é um arquivo binário que eu mesmo serializei, é muito fácil de entender e muito básico, mas funcional por seu objetivo. O banco de dados contém todas as 79 constantes de algoritmos implementadas pela ILFAK, nenhum sacrifício foi feito enquanto as migra, além de adicionar cada vez mais pelos colaboradores.

Há um total de 122 constantes detectáveis ​​no banco de dados, relacionadas a:

• Primitivos brutos
  • KECCAK (SHA-3)
• Curvas elípticas
  • Donna32 (EC25519), Donna64 (EC25519)
• Cifra de fluxo
  • Chacha, Salsa, Sosemanuk
• Bloqueie cifras
  • Blowfish, Camellia, DES, tripledes, RC2, tubarão, elenco, quadrado, acordar, skipjack, Hight, Kalyna, Lea, Seed, Schacal2, Simon-64, Simon-128, Tea
• Funções de hash
  • Whirlpool, MD2, MD4, MD5, SHA-1, SHA-256, SHA-384, SHA-512, TIGER, RIPEMD160, HAVAL, BLAKE2
• Família AES
  • AES, RC5/RC6, Marte, Twofish, Cast-256, Gost, mais seguro
• Compressão
  • Zlib

Para incluir mais constantes de sua escolha, basta consultar o projeto "fcexporter" e talvez também compartilhe suas novas entradas :)

O script agora está usando um sistema de atualização automática interna sincronizada com a versão mais recente do banco de dados neste repositório. A sincronização do repositório centralizado é ativado por padrão, isso é para garantir que o usuário sempre tenha a versão mais recente possível e, portanto, obtenha os melhores resultados do script, se você deseja desativá -lo:

1. Abra o arquivo "findCrypt.java" e encontre a variável '__force_no_dbupdate' (linha 705).
2. Substitua "false" por "True".

Embora o banco de dados seja modular de design e possa ser atualizado automaticamente, o script não pode; Mas o script verificará a versão atual e solicitará ao usuário que verifique esta versão mais recente do repositório para download, com a lista de alterações da nova versão.

A mensagem de atualização do script é rápida apenas uma vez por sessão.

Prossiga baixar a versão mais recente do "findCrypt.java" e substitua -a no diretório de scripts de Ghidra.

Além disso, esse recurso é ativado por padrão, se você deseja desativá -lo, siga as etapas mencionadas acima em '__force_no_scriptupdate' (linha 707).

D3VIL401 - [email protected], D3VIL401#7685 (Discord), https://d3vsite.org/

Ilfak Guilfanov - https://twitter.com/ilfak

NSA (Ghidra) - https://ghidra-sre.org/

GNU GPLV3 - Consulte "Licença"

Usando Crypto ++ - Consulte Licenças Crypto ++. TXT