FindCrypt Ghidra

โครงการนี้ลดลงเนื่องจากฉันไม่สามารถดูแลรักษาได้โปรดดูที่ส้อมหรือรูปแบบของโครงการนี้เช่นโครงการนี้ อย่าลังเลที่จะเปิดปัญหาหากคุณต้องการเพิ่มโครงการของคุณในรายการงานอนุพันธ์พร้อมคำอธิบายสั้น ๆ

ในขณะที่หลายปีที่เราใช้ IDA Pro และปลั๊กอินที่เหลือเชื่อที่พัฒนาโดยชุมชนขนาดใหญ่ Ghidra ออกมาเมื่อเร็ว ๆ นี้ (ในช่วงเวลาของการเขียน) แสดงให้เห็นถึงศักยภาพมากมายและการออกแบบแบบแยกส่วนที่เหลือเชื่อสำหรับการปรับแต่งทั้งใน Python หรือ Java

อย่างที่คุณรู้ส่วนใหญ่ FindCrypt ปลั๊กอินที่ทำโดยอย่างไรก็ตาม Ilfak Guilfanov ตัวเองสำหรับ IDA เป็นสิ่งจำเป็นสำหรับการค้นหาฟังก์ชั่นการเข้ารหัสในเป้าหมายและมีประโยชน์อย่างมากในด้านวิศวกรรมย้อนกลับ

ฉันพยายามย้ายไปที่ Ghidra และสิ่งแรกที่ฉันสังเกตเห็นคือปลั๊กอินสำคัญสำหรับฉันดังนั้นฉันจึงรับผิดชอบในการโยกย้ายมันในชวาโดยไม่ต้องเสียสละลายเซ็นใด ๆ และพยายามปรับปรุงเช่นกัน

ซอฟต์แวร์นี้กำลังได้รับการพัฒนาและทดสอบหากคุณพบปัญหาใด ๆ โปรดดำเนินการต่อในส่วนปัญหา

1. ค้นหาไดเรกทอรีการติดตั้ง Ghidra ของคุณ (เช่น "E: การย้อนกลับซอฟต์เวท ghidra_9.0")))
2. ย้าย "findcrypt.java" ไปยัง "ghidra feature bytepatterns ghidra_scripts"
3. ย้าย "findcrypt_ghidra" (ไดเรกทอรีฐานข้อมูล) ไปยัง "c: users ผู้ใช้ของคุณ"
4. ตรวจสอบให้แน่ใจว่า Ghidra สามารถเข้าถึงไดเรกทอรี "findcrypt_ghidra" ทั้งสำหรับการอ่านและการเขียน

1. ค้นหาไดเรกทอรีการติดตั้ง Ghidra ของคุณ (เช่น ~/ghidra)
2. ย้าย "findcrypt.java" เข้าสู่ "~/ghidra/feature/bytepatterns/ghidra_scripts"
3. ย้าย "findCrypt_ghidra" (ไดเรกทอรีฐานข้อมูล) ไปยัง ~/ (หรือ $ home)
4. ตรวจสอบให้แน่ใจว่า Ghidra สามารถเข้าถึงไดเรกทอรี "findcrypt_ghidra" ทั้งสองสำหรับการอ่านและการเขียน

เมื่อคุณเริ่มโครงการของคุณและเปิด disassembler ให้ใช้หน้าต่าง Script Manager และค้นหา "findCrypt.java" โดยการคลิกสองครั้งหรือกด "เรียกใช้" จะเรียกใช้สคริปต์และหน้าจอผลลัพธ์จะปรากฏขึ้นหากพบสิ่งที่

ฐานข้อมูลเป็นไฟล์ไบนารีที่ฉันเป็นอนุกรมตัวเองมันง่ายมากที่จะเข้าใจและพื้นฐานมาก แต่ใช้งานได้สำหรับเป้าหมาย ฐานข้อมูลมีค่าคงที่ทั้งหมด 79 อัลกอริทึมที่ดำเนินการโดย ILFAK ไม่มีการเสียสละใด ๆ ในขณะที่อพยพพวกเขาในขณะเดียวกันก็เพิ่มจำนวนมากขึ้นโดยผู้มีส่วนร่วม

มี ค่าคงที่ที่ตรวจพบได้ทั้งหมด 122 ค่า ในฐานข้อมูลที่เกี่ยวข้องกับ:

• ดิบดิบ
  • Keccak (Sha-3)
• เส้นโค้งรูปไข่
  • DONNA32 (EC25519), DONNA64 (EC25519)
• สตรีม ciphers
  • Chacha, Salsa, Sosemanuk
• บล็อก Ciphers
  • Blowfish, Camellia, DES, สามเท่า, RC2, Shark, Cast, Square, Wake, Skipjack, Hight, Kalyna, Lea, Seed, Schacal2, Simon-64, Simon-128, ชา/Tean/XTEA/XXTEA
• Hash Funcions
  • Whirlpool, MD2, MD4, MD5, Sha-1, Sha-256, Sha-384, Sha-512, Tiger, Ripemd160, Haval, Blake2
• ครอบครัว AES
  • AES, RC5/RC6, Mars, Twofish, Cast-256, GOST, SAFER
• การบีบอัด
  • zlib

เพื่อรวมค่าคงที่มากขึ้นที่คุณเลือกเพียงอ้างถึงโครงการ "fcexporter" และอาจแบ่งปันผลงานใหม่ของคุณ :)

ขณะนี้สคริปต์ใช้ระบบอัปเดตอัตโนมัติภายในที่ซิงโครไนซ์กับเวอร์ชันฐานข้อมูลล่าสุดในที่เก็บนี้ การซิงโครไนซ์ที่เก็บข้อมูลส่วนกลางโดยเริ่มต้นเปิดนี่คือเพื่อให้แน่ใจว่าผู้ใช้มีเวอร์ชันล่าสุดที่เป็นไปได้เสมอและได้รับผลลัพธ์ที่ดีที่สุดจากสคริปต์หากคุณต้องการปิด:

1. เปิดไฟล์ "findcrypt.java" และค้นหาตัวแปร '__force_no_dbupdate' (บรรทัด 705)
2. แทนที่ "เท็จ" ด้วย "จริง"

ในขณะที่ฐานข้อมูลคือการออกแบบโมดูลและสามารถอัปเดตโดยอัตโนมัติสคริปต์ไม่สามารถ; แต่สคริปต์จะตรวจสอบเวอร์ชันปัจจุบันและแจ้งให้ผู้ใช้ตรวจสอบเวอร์ชันล่าสุดที่เก็บข้อมูลสำหรับดาวน์โหลดพร้อมรายการการเปลี่ยนแปลงจากเวอร์ชันใหม่

ข้อความอัปเดตสคริปต์เป็นพรอมต์เพียงครั้งเดียวต่อเซสชัน

ดำเนินการดาวน์โหลดเวอร์ชันล่าสุดของ "findcrypt.java" และแทนที่ในไดเรกทอรีสคริปต์ของ Ghidra

นอกจากนี้คุณลักษณะนี้จะถูกเปิดใช้งานโดยค่าเริ่มต้นหากคุณต้องการปิดการใช้งานให้ทำตามขั้นตอนที่กล่าวถึงข้างต้นใน '__force_no_scriptupdate' (บรรทัด 707)

d3vil401 - [email protected], d3vil401#7685 (discord), https://d3vsite.org/

Ilfak Guilfanov - https://twitter.com/ilfak

NSA (Ghidra) - https://ghidra-sre.org/

GNU GPLV3 - อ้างถึง "ใบอนุญาต"

การใช้ crypto ++ - อ้างถึงใบอนุญาต crypto ++. txt