ghostrings

通過p代碼分析，用於恢復GO二進製文件中字符串定義的腳本。用X86，X86-64，ARM和ARM64測試。

這些可以在腳本管理器的Golang類別中找到。

• GoDynamicStrings.java
  • 分析p代碼以查找在堆棧上創建的字符串結構。使用較低級別的“註冊”樣式分析。
• GoFuncCallStrings.java
  • 分析p代碼以查找通過寄存器直接傳遞給功能調用的字符串結構，而無需寫入堆棧。使用Ghidra的新內置Golang支持使用“歸一化”樣式分析（有關支持的Golang版本，請參見Ghidra發行說明）。
• GoStaticStrings.java
  • 查找在僅讀取內存中靜態分配的GO字符串結構。
• GoKnownStrings.java
  • 搜索標準的獨特字符串並定義它們。字符串數據是從data/known_strings.json加載的。
• GoStringFiller.java
  • 基於字符串數據的上升長度順序，填充go.string.*經過初步分析。

動態字符串分析腳本也有幾個特殊變體：

• GoDynamicStringsSingle.java
  • 與GoDynamicStrings.java執行相同的分析，但使用單個反編譯器過程。如果分析二進制，請使用此功能會導致並行的分解器過程排氣系統存儲器。
• GoDynamicStringsHigh.java
  • 實驗，使用較高級別“歸一化”樣式分析的P代碼輸出。目前取決於將刪除刪除的黑客攻擊（請參閱https://research.nccgroup.com/2022/05/05/20/earlyremoval-in-the-conservatory-with-with-the-wrench/）。這種黑客在吉德拉10.2中斷。

這可以在腳本管理器中的PCODE類別中找到。

• PrintHighPCode.java
  • 將當前選擇的功能打印到控制台上的高P代碼輸出，並使用用於使用的簡化樣式的選擇器。主要用於開發P代碼分析腳本。

這是使用這些腳本在GO二進制中恢復字符串定義的一般流程：

1. 清除僅讀取數據存儲器塊中所有錯誤或自動定義的字符串。
   • 在“定義的字符串”窗口中，啟用“ mem塊”列，然後按內存塊過濾以選擇.rodata ， .rdata或__rodata中的所有字符串。然後右鍵單擊代碼列表中，然後選擇“清除代碼字節”。
2. （可選）運行GoKnownStrings.java檢測一些標準字符串。
3. 運行GoStaticStrings.java 。
4. 運行GoFuncCallStrings.java （如果Ghidra的內置Golang功能支持Golang二進製版本） 。
5. 運行GoDynamicStrings.java 。
6. 運行GoStringFiller.java 。
   • 如果它檢測到違反字符串數據的上升長度順序，請清除該區域中的任何假陽性字符串定義並重新運行腳本。可以自動執行此操作。
   • 如果將二進制剝離，請找到動態字符串腳本找到的一個字節字符串的區域。確保這是分組的非終止字符串的開始（在上升順序時應定義更多的字符串）。創建標籤go.string.*在第一個字節字符串。
7. 檢查go.string.*中的剩餘空白。
   • 為了最大程度地利用GoStringFiller.java ，請確定字符串長度在未定義的字符串數據中的變化位置，並定義最接近該邊界的字符串。然後重新運行的GoStringFiller.java自動填充可以正確確定其餘未定義字符串的長度的點。
8. （可選）重新運行Ghidra的內置ASCII字符串分析工具。
   • 禁用覆蓋現有字符串。使用零終端要求運行，然後運行。

在吉德拉：

1. 文件 - >安裝擴展名 - >添加擴展
2. 選擇擴展ZIP文件

使用Ghidradev插件的Eclipse：

1. 克隆回購
2. 文件 - >導入 - >來自文件夾或存檔的項目
3. 選擇回購目錄
4. Ghidradev->鏈接Ghidra ...
5. 選擇導入的項目

用食物建造：

• Ghidradev->導出 - > Ghidra模塊擴展...

直接與Gradle建立：

$ cd Ghostrings
$ gradle -PGHIDRA_INSTALL_DIR= < ghidra_install_dir > 

反向工程GO程序的一個眾所周知的問題是，在GO字符串中缺乏零件終止器，使從編譯的二進製文件中恢復了字符串定義。 GO程序的許多常數字符串值在編譯構建中存儲在一個巨型斑點中，而沒有內置的終端字符內置在字符串數據中以標記一個字符串結束，另一個字符串開始。即使是一個簡單的程序，它只是打印“ Hello World！”與GO運行時系統和其他標準庫有關，其中有1,500多個字符串。這可能會導致典型的ASCII字符串發現實現，例如Ghidra提供的實現，以創建誤報字符串定義，這些定義是數以萬計的字符。

Go使用由指針和長度值組成的字符串結構，而不是終止終止字符串。這些字符串結構中的許多是在程序的堆棧上創建的，因此恢復單個字符串啟動位置和長度值需要分析編譯的機器代碼。有一些現有的腳本通過檢查X86-64指令的某些模式來執行此分析，但是它們錯過了具有無與倫比的指令變化的結構，這些結構最終對堆棧產生相同的效果，並且也僅限於特定的ISA。

GhoStrings通過使用Ghidra的分解器分析生產的簡化，獨立的P代碼操作來避免這兩個問題。

版權2022 NCC組。根據GPLV3許可證發布（請參閱許可證）。

主要項目作者：James Chambers [email protected]