ghostrings

Скрипты для восстановления определений строк в двойных двоичных файлах с анализом P-кода. Протестировано с x86, x86-64, ARM и ARM64.

Их можно найти в категории Голанга в менеджере сценариев.

• GoDynamicStrings.java
  • Анализует p-код, чтобы найти строковые структуры, созданные в стеке. Использует анализ стиля «регистр» нижнего уровня.
• GoFuncCallStrings.java
  • Проанализируйте p-код, чтобы найти строковые структуры, передаваемые непосредственно для вызовов функций через регистры, не будучи записанными в стек. Использует анализ стиля «Нормализовать» с новой встроенной поддержкой Golang от Ghidra (см. Примечания к выпуску Ghidra для поддерживаемых версий Golang).
• GoStaticStrings.java
  • Найдите строки go Structures, статически выделенные в памяти только для чтения.
• GoKnownStrings.java
  • Ищет стандартные уникальные строки и определяет их. Строковые данные загружаются из data/known_strings.json .
• GoStringFiller.java
  • Заполняет пробелы в go.string.* После первоначального анализа, на основе порядка возрастающей длины строковых данных.

Существует также несколько особых вариантов сценария динамического анализа строк:

• GoDynamicStringsSingle.java
  • Выполняет тот же анализ, что и GoDynamicStrings.java , но использует один процесс декомпилятора. Используйте это, если анализ двоичного файла приводит к процессам параллельного декомпилятора в память о выхлопной системе.
• GoDynamicStringsHigh.java
  • Экспериментальный, использует выход P-кода из анализа стиля более высокого уровня. В настоящее время зависит от взлома, который отключает устранение DeadCode в декомпиляторе (см. Https://research.nccgroup.com/2022/05/20/earlyremoval-in-the-conseratory-with-the-wench/). Этот взлом перерывается в Ghidra 10.2.

Это можно найти в категории PCODE в диспетчере скриптов.

• PrintHighPCode.java
  • Отпечатает высокий выход P-кода для выбранной в настоящее время функции в консоли с селектором для использования стиля упрощения декомпилятора. В основном используется для разработки сценариев анализа P-кода.

Вот общий поток для использования этих сценариев для восстановления строковых определений в бинарном виде:

1. Очистить все неверные или автоматически определенные строки в блоке памяти данных только для чтения.
   • В окне «Определенные строки» включите столбец «mem block» и фильтр от блока памяти, чтобы выбрать все строки в .rodata , .rdata или __rodata . Затем щелкните правой кнопкой мыши в списке кода и выберите «Очистить байты кода».
2. (Необязательно) Запустите GoKnownStrings.java , чтобы обнаружить некоторые стандартные строки.
3. Run GoStaticStrings.java .
4. Запустите GoFuncCallStrings.java (если бинарная версия Golang поддерживается встроенными функциями Golang's Golang) .
5. Запустить GoDynamicStrings.java .
6. Запустить GoStringFiller.java .
   • Если он обнаруживает нарушение порядка восходящей длины строковых данных, очистите любые ложные определения положительных строк в этой области и повторно запустите сценарий. Есть возможность сделать это автоматически.
   • Если двоичный файл раздет, найдите область одного байта -струн, найденных сценарием динамических строк. Убедитесь, что это начало сгруппированных строк без нулевого, (больше строк следует определить после длины в порядке возрастания). Создайте метку go.string.* На первой строке.
7. Проверьте оставшиеся пробелы в go.string.* И определите любые строки с очевидными начальными и конечными точками.
   • Чтобы использовать наибольшее использование GoStringFiller.java , определите, где длины строки меняются в неопределенных строковых данных, и определите строки, наиболее близкие к этой границе. Затем повторно запустите GoStringFiller.java , чтобы автоматически заполнять пятна, где он может правильно определить длину оставшихся неопределенных строк.
8. (Необязательно) Встроенный инструмент анализа струн ASCII от Ggidra.
   • Отключить перезапись существующих струн. Забежать с и затем без требования к нулевым терминатору.

В Ghidra:

1. Файл -> Установить расширения -> Добавить расширение
2. Выберите zip -файл Extension

Для затмения с плагином Ghidradev:

1. Клон репо
2. Файл -> Импорт -> Проекты из папки или архива
3. Выберите Repo Directory
4. Ghidradev -> Link Ghidra ...
5. Выберите импортный проект

Строить с затмением:

• Ghidradev -> export -> расширение модуля Ghidra ...

Строить прямо с Gradle:

$ cd Ghostrings
$ gradle -PGHIDRA_INSTALL_DIR= < ghidra_install_dir > 

Хорошо известная проблема с программами обратной инженерии GO заключается в том, что отсутствие нулевых терминаторов в строках GO затрудняет восстановление строк из составленных двоичных файлов. Многие из постоянных строковых значений программы GO хранятся вместе в одном гигантском Blob в скомпилированной сборке, без каких -либо символов терминатора, встроенных в строковые данные, чтобы отметить, где заканчивается одна строка, а другая начинается. Даже простая программа, которая просто печатает "Привет, мир!" имеет более 1500 строк в ИТ, связанных с системой времени выполнения GO и другими стандартными библиотеками. Это может привести к типичным реализациям обнаружения строки ASCII, например, предоставленной Ghidra, для создания ложных определений положительных строк, которые составляют десятки тысяч символов.

Вместо нулевого завершенного строк GO использует строковую структуру, которая состоит из указателя и значения длины. Многие из этих строковых структур создаются в стеке программы во время выполнения, поэтому для восстановления отдельных мест запуска строки и значений длины требуется анализ скомпилированного машинного кода. Существует несколько существующих сценариев, которые выполняют этот анализ, проверяя определенные шаблоны инструкций X86-64, но они пропускают структуры, созданные с невозможными вариациями инструкций, которые в конечном итоге оказывают одинаковое влияние на стек, и они также ограничены определенным ISA.

Ghostrings избегает обеих этих проблем, работая с упрощенными, независимыми от архитектуры операций P-кода, создаваемыми анализом декомпилятора Ghidra.

Copyright 2022 NCC Group. Выпущено по лицензии GPLV3 (см. Лицензию).

Основной автор проекта: Джеймс Чамберс Джеймс[email protected]