ghostrings

สคริปต์สำหรับการกู้คืนคำจำกัดความของสตริงใน Binaries GO ด้วยการวิเคราะห์ P-Code ทดสอบด้วย X86, X86-64, ARM และ ARM64

สิ่งเหล่านี้สามารถพบได้ในหมวดหมู่ Golang ในตัวจัดการสคริปต์

• GoDynamicStrings.java
  • วิเคราะห์ P-Code เพื่อค้นหาโครงสร้างสตริงที่สร้างขึ้นบนสแต็ก ใช้การวิเคราะห์สไตล์ "ลงทะเบียน" ระดับล่าง
• GoFuncCallStrings.java
  • วิเคราะห์ P-code เพื่อค้นหาโครงสร้างสตริงที่ส่งผ่านโดยตรงไปยังการเรียกใช้ฟังก์ชันผ่านการลงทะเบียนโดยไม่ถูกเขียนลงในสแต็ก ใช้การวิเคราะห์สไตล์ "ปกติ" ด้วยการสนับสนุน Golang ในตัวของ Ghidra ใหม่ (ดูบันทึกย่อการเปิดตัว Ghidra สำหรับเวอร์ชัน Golang ที่รองรับ)
• GoStaticStrings.java
  • ค้นหาโครงสร้างสตริง GO ที่จัดสรรไว้ในหน่วยความจำแบบอ่านอย่างเดียว
• GoKnownStrings.java
  • ค้นหาสตริงที่ไม่ซ้ำกันมาตรฐานและกำหนด ข้อมูลสตริงถูกโหลดจาก data/known_strings.json
• GoStringFiller.java
  • เติมในช่องว่างใน go.string.* หลังจากการวิเคราะห์เบื้องต้นขึ้นอยู่กับลำดับความยาวจากน้อยไปมากของข้อมูลสตริง

นอกจากนี้ยังมีรูปแบบพิเศษสองสามแบบของสคริปต์การวิเคราะห์สตริงแบบไดนามิก:

• GoDynamicStringsSingle.java
  • ทำการวิเคราะห์เช่นเดียวกับ GoDynamicStrings.java แต่ใช้กระบวนการ decompiler เดียว ใช้สิ่งนี้หากการวิเคราะห์ไบนารีทำให้กระบวนการ decompiler แบบขนานกับหน่วยความจำระบบไอเสีย
• GoDynamicStringsHigh.java
  • การทดลองใช้เอาต์พุต P-Code จากการวิเคราะห์สไตล์ "ปกติ" ระดับสูงกว่า ปัจจุบันขึ้นอยู่กับการแฮ็คที่ปิดการกำจัด DeadCode ใน decompiler (ดู https://research.nccgroup.com/2022/05/20/earlyremoval-in-the-conservatory-wrench/) แฮ็คนี้แตกใน Ghidra 10.2

สามารถพบได้ในหมวดหมู่ PCODE ในตัวจัดการสคริปต์

• PrintHighPCode.java
  • พิมพ์เอาต์พุต P-code สูงสำหรับฟังก์ชั่นที่เลือกในปัจจุบันไปยังคอนโซลพร้อมตัวเลือกสำหรับรูปแบบการทำให้เข้าใจง่าย decompiler ที่จะใช้ ส่วนใหญ่ใช้สำหรับการพัฒนาสคริปต์การวิเคราะห์ P-Code

นี่คือโฟลว์ทั่วไปสำหรับการใช้สคริปต์เหล่านี้เพื่อกู้คืนคำจำกัดความของสตริงใน GO Binary:

1. ล้างสตริงที่ไม่ถูกต้องหรือกำหนดโดยอัตโนมัติในบล็อกหน่วยความจำข้อมูลแบบอ่านอย่างเดียว
   • ในหน้าต่าง "Strings ที่กำหนดไว้" เปิดใช้งานคอลัมน์ "MEM block" และกรองโดยบล็อกหน่วยความจำเพื่อเลือกสตริงทั้งหมดใน .rodata , .rdata หรือ __rodata จากนั้นคลิกขวาในรายการรหัสและเลือก "ล้างรหัสไบต์"
2. (ไม่บังคับ) เรียกใช้ GoKnownStrings.java เพื่อตรวจจับสตริงมาตรฐานบางอย่าง
3. เรียกใช้ GoStaticStrings.java
4. เรียกใช้ GoFuncCallStrings.java (หากรุ่น Golang Binary ได้รับการสนับสนุนโดยคุณสมบัติ Golang ในตัวของ Ghidra)
5. เรียกใช้ GoDynamicStrings.java
6. เรียกใช้ GoStringFiller.java
   • หากตรวจพบการละเมิดลำดับความยาวจากน้อยไปหามากของข้อมูลสตริงให้ล้างคำจำกัดความสตริงบวกที่ผิดพลาดใด ๆ ในพื้นที่นั้นและเรียกใช้สคริปต์อีกครั้ง มีตัวเลือกในการทำสิ่งนี้โดยอัตโนมัติ
   • หากไบนารีถูกถอดออกให้ค้นหาพื้นที่ของสายไบต์หนึ่งสายที่พบโดยสคริปต์สตริงแบบไดนามิก ตรวจสอบให้แน่ใจว่ามันเป็นจุดเริ่มต้นของการจัดกลุ่มเข้าด้วยกันสตริงที่ไม่ได้สิ้นสุด (ควรกำหนดสตริงเพิ่มเติมหลังจากมีความยาวตามลำดับจากน้อยไปหามาก) สร้างฉลาก go.string.* ที่สตริงแรกไบต์
7. ตรวจสอบช่องว่างที่เหลืออยู่ใน go.string.* และกำหนดสตริงใด ๆ ที่มีจุดเริ่มต้นและจุดสิ้นสุดที่ชัดเจน
   • เพื่อใช้ประโยชน์จาก GoStringFiller.java มากที่สุดให้ระบุความยาวของสตริงที่เปลี่ยนแปลงไปในข้อมูลสตริงที่ไม่ได้กำหนดและกำหนดสตริงที่อยู่ใกล้กับขอบเขตนั้น จากนั้นเรียกใช้ GoStringFiller.java อีกครั้งเพื่อเติมเต็มจุดที่สามารถกำหนดความยาวของสตริงที่ไม่ได้กำหนดได้อย่างถูกต้อง
8. (ไม่บังคับ) เครื่องมือวิเคราะห์สตริง ASCII ในตัวของ Ghidra อีกครั้ง
   • ปิดการเขียนทับสตริงที่มีอยู่ รันด้วยแล้วไม่มีข้อกำหนดเทอร์มินัลโมฆะ

ใน Ghidra:

1. ไฟล์ -> ติดตั้งส่วนขยาย -> เพิ่มส่วนขยาย
2. เลือกไฟล์ ZIP ส่วนขยาย

สำหรับ Eclipse ด้วยปลั๊กอิน Ghidradev:

1. repo โคลน
2. ไฟล์ -> นำเข้า -> โครงการจากโฟลเดอร์หรือเก็บถาวร
3. เลือกไดเรกทอรี repo
4. Ghidradev -> Link Ghidra ...
5. เลือกโครงการนำเข้า

สร้างด้วย Eclipse:

• Ghidradev -> การส่งออก -> ส่วนขยายโมดูล Ghidra ...

สร้างโดยตรงกับ Gradle:

$ cd Ghostrings
$ gradle -PGHIDRA_INSTALL_DIR= < ghidra_install_dir > 

ปัญหาที่รู้จักกันดีเกี่ยวกับโปรแกรม GO ทางวิศวกรรมย้อนกลับคือการขาดเทอร์มินัลโมฆะในสาย GO ทำให้การกู้คืนคำจำกัดความของสตริงจากไบนารีที่รวบรวมได้ยาก ค่าสตริงคงที่ของโปรแกรม GO จำนวนมากจะถูกเก็บไว้ด้วยกันในหยดยักษ์ตัวหนึ่งในการบิลด์ที่รวบรวมโดยไม่มีอักขระเทอร์มิเนเตอร์ใด ๆ ที่สร้างไว้ในข้อมูลสตริงเพื่อทำเครื่องหมายว่าสตริงหนึ่งสิ้นสุดลง แม้แต่โปรแกรมง่ายๆที่เพิ่งพิมพ์ "Hello World!" มีสตริงมากกว่า 1,500 สตริงที่เกี่ยวข้องกับระบบรันไทม์ GO และไลบรารีมาตรฐานอื่น ๆ สิ่งนี้สามารถทำให้การใช้งานการค้นพบสตริง ASCII ทั่วไปเช่นที่ Ghidra จัดทำขึ้นเพื่อสร้างคำจำกัดความสตริงบวกที่ผิดพลาดซึ่งมีความยาวหลายหมื่นอักขระ

แทนที่จะเป็นสตริง Null ที่สิ้นสุดให้ใช้โครงสร้างสตริงที่ประกอบด้วยตัวชี้และค่าความยาว โครงสร้างสตริงเหล่านี้จำนวนมากถูกสร้างขึ้นบนสแต็กของโปรแกรมที่รันไทม์ดังนั้นการกู้คืนตำแหน่งสตริงเริ่มต้นและค่าความยาวจำเป็นต้องวิเคราะห์รหัสเครื่องที่รวบรวม มีสคริปต์ที่มีอยู่สองสามสคริปต์ที่ดำเนินการวิเคราะห์นี้โดยการตรวจสอบรูปแบบบางอย่างของคำแนะนำ x86-64 แต่พวกเขาพลาดโครงสร้างที่สร้างขึ้นด้วยคำแนะนำที่ไม่มีการจัดการซึ่งในที่สุดก็มีผลเช่นเดียวกันกับสแต็ก

Ghostrings หลีกเลี่ยงปัญหาทั้งสองนี้โดยการทำงานกับการดำเนินงาน P-Code ที่เป็นอิสระสถาปัตยกรรมที่ผลิตโดยการวิเคราะห์ decompiler ของ Ghidra

ลิขสิทธิ์ 2022 กลุ่ม NCC ปล่อยภายใต้ใบอนุญาต GPLV3 (ดูใบอนุญาต)

ผู้เขียนโครงการหลัก: James Chambers [email protected]