ghostrings

通过p代码分析，用于恢复GO二进制文件中字符串定义的脚本。用X86，X86-64，ARM和ARM64测试。

这些可以在脚本管理器的Golang类别中找到。

• GoDynamicStrings.java
  • 分析p代码以查找在堆栈上创建的字符串结构。使用较低级别的“注册”样式分析。
• GoFuncCallStrings.java
  • 分析p代码以查找通过寄存器直接传递给功能调用的字符串结构，而无需写入堆栈。使用Ghidra的新内置Golang支持使用“归一化”样式分析（有关支持的Golang版本，请参见Ghidra发行说明）。
• GoStaticStrings.java
  • 查找在仅读取内存中静态分配的GO字符串结构。
• GoKnownStrings.java
  • 搜索标准的独特字符串并定义它们。字符串数据是从data/known_strings.json加载的。
• GoStringFiller.java
  • 基于字符串数据的上升长度顺序，填充go.string.*经过初步分析。

动态字符串分析脚本也有几个特殊变体：

• GoDynamicStringsSingle.java
  • 与GoDynamicStrings.java执行相同的分析，但使用单个反编译器过程。如果分析二进制，请使用此功能会导致并行的分解器过程排气系统存储器。
• GoDynamicStringsHigh.java
  • 实验，使用较高级别“归一化”样式分析的P代码输出。目前取决于将删除删除的黑客攻击（请参阅https://research.nccgroup.com/2022/05/05/20/earlyremoval-in-the-conservatory-with-with-the-wrench/）。这种黑客在吉德拉10.2中断。

这可以在脚本管理器中的PCODE类别中找到。

• PrintHighPCode.java
  • 将当前选择的功能打印到控制台上的高P代码输出，并使用用于使用的简化样式的选择器。主要用于开发P代码分析脚本。

这是使用这些脚本在GO二进制中恢复字符串定义的一般流程：

1. 清除仅读取数据存储器块中所有错误或自动定义的字符串。
   • 在“定义的字符串”窗口中，启用“ mem块”列，然后按内存块过滤以选择.rodata ， .rdata或__rodata中的所有字符串。然后右键单击代码列表中，然后选择“清除代码字节”。
2. （可选）运行GoKnownStrings.java检测一些标准字符串。
3. 运行GoStaticStrings.java 。
4. 运行GoFuncCallStrings.java （如果Ghidra的内置Golang功能支持Golang二进制版本） 。
5. 运行GoDynamicStrings.java 。
6. 运行GoStringFiller.java 。
   • 如果它检测到违反字符串数据的上升长度顺序，请清除该区域中的任何假阳性字符串定义并重新运行脚本。可以自动执行此操作。
   • 如果将二进制剥离，请找到动态字符串脚本找到的一个字节字符串的区域。确保这是分组的非终止字符串的开始（在上升顺序时应定义更多的字符串）。创建标签go.string.*在第一个字节字符串。
7. 检查go.string.*中的剩余空白。
   • 为了最大程度地利用GoStringFiller.java ，请确定字符串长度在未定义的字符串数据中的变化位置，并定义最接近该边界的字符串。然后重新运行的GoStringFiller.java自动填充可以正确确定其余未定义字符串的长度的点。
8. （可选）重新运行Ghidra的内置ASCII字符串分析工具。
   • 禁用覆盖现有字符串。使用零终端要求运行，然后运行。

在吉德拉：

1. 文件 - >安装扩展名 - >添加扩展
2. 选择扩展ZIP文件

使用Ghidradev插件的Eclipse：

1. 克隆回购
2. 文件 - >导入 - >来自文件夹或存档的项目
3. 选择回购目录
4. Ghidradev->链接Ghidra ...
5. 选择导入的项目

用食物建造：

• Ghidradev->导出 - > Ghidra模块扩展...

直接与Gradle建立：

$ cd Ghostrings
$ gradle -PGHIDRA_INSTALL_DIR= < ghidra_install_dir > 

反向工程GO程序的一个众所周知的问题是，在GO字符串中缺乏零件终止器，使从编译的二进制文件中恢复了字符串定义。 GO程序的许多常数字符串值在编译构建中存储在一个巨型斑点中，而没有内置的终端字符内置在字符串数据中以标记一个字符串结束，另一个字符串开始。即使是一个简单的程序，它只是打印“ Hello World！”与GO运行时系统和其他标准库有关，其中有1,500多个字符串。这可能会导致典型的ASCII字符串发现实现，例如Ghidra提供的实现，以创建误报字符串定义，这些定义是数以万计的字符。

Go使用由指针和长度值组成的字符串结构，而不是终止终止字符串。这些字符串结构中的许多是在程序的堆栈上创建的，因此恢复单个字符串启动位置和长度值需要分析编译的机器代码。有一些现有的脚本通过检查X86-64指令的某些模式来执行此分析，但是它们错过了具有无与伦比的指令变化的结构，这些结构最终对堆栈产生相同的效果，并且也仅限于特定的ISA。

GhoStrings通过使用Ghidra的分解器分析生产的简化，独立的P代码操作来避免这两个问题。

版权2022 NCC组。根据GPLV3许可证发布（请参阅许可证）。

主要项目作者：James Chambers [email protected]