[分享] Ghidra 分析程序及个人感受-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[分享] Ghidra 分析程序及个人感受

发表于: 2020-5-5 18:36 10870

[分享] Ghidra 分析程序及个人感受

Willarcap

2020-5-5 18:36

10870

PS: 本文以 crackme 006K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6U0M7X3q4U0K9$3#2W2M7#2)9J5k6h3!0F1k6g2)9J5c8X3y4J5j5h3y4C8L8h3g2Q4x3V1j5#2j5U0S2S2x3K6N6S2y4o6x3K6j5K6g2V1y4o6g2X3j5K6t1^5y4X3q4V1z5o6x3`. 为例，分享 Ghidra 的使用过程，解题不是本文重点。

本人采用 openjdk11，ghidra 9.0.4 版本，运行 ghidraRun 文件，提示输入 jdk 路径，这里输入 /usr/lib/jvm/java-11-openjdk-amd64。这里用普通用户权限也可以。

新建项目，并导入crackme

file -> New Project 新建项目，直接将 crackme 鼠标拖入 project，Ghidra 自动识别文件类型，这里保持默认

这里提示一些文件信息，点击 OK 即可

然后双击这个程序，打开 "CodeBrowser " 即“代码浏览器”，提示是否需要分析，选择 “是”

看右下角的分析进度，快慢视程序大小、是否加壳等而定。

修改文件快捷键 Ctrl + Shift + G ,修改完毕之后导出文件： File -> Export File

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・20

免费・1

支持

最新回复 (15)
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 4 关注私信	人在塔在 2 楼 xiexie分享 2020-5-5 19:18 0
Editor 雪币： 42947 活跃值： (65767) 能力值： (RANK：135 ) 在线值：发帖 2220 回帖 4446 粉丝 2078 关注私信	Editor 3 楼谢谢分享! 2020-5-6 17:49 0
库尔雪币： 1372 活跃值： (2100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 190 粉丝 4 关注私信	库尔 4 楼好用是好用，我也正在用，但是动态调试没开发出来，和ida的差距就拉开了，况且还有一堆bug没修复。只能期待动态调试出来在加入这个圈子。 2020-5-9 08:55 0
Willarcap 雪币： 11130 活跃值： (5250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 86 粉丝 29 关注私信	Willarcap 5 楼库尔好用是好用，我也正在用，但是动态调试没开发出来，和ida的差距就拉开了，况且还有一堆bug没修复。只能期待动态调试出来在加入这个圈子。对的，Ghidra、IDA只是工具，更多的是看使用工具的人。作为开源软件，Ghidra 感觉已经挺好了，持续关注吧，老是白嫖 IDA 心里总是过意不去 2020-5-9 15:53 0
luoyesiqiu 雪币： 2722 活跃值： (4050) 能力值： ( LV9，RANK：140 ) 在线值：发帖 7 回帖 89 粉丝 68 关注私信	luoyesiqiu 3 6 楼能跨平台，爱了 2020-5-9 16:19 0
值得怀疑雪币： 1855 活跃值： (6070) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 361 粉丝 0 关注私信	值得怀疑 7 楼这个我加载不了pdb符号啊 2020-5-10 17:04 0
Willarcap 雪币： 11130 活跃值： (5250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 86 粉丝 29 关注私信	Willarcap 8 楼值得怀疑这个我加载不了pdb符号啊可以参考这篇文章 393K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1j5h3&6F1P5i4q4#2K9i4y4@1i4K6u0W2k6$3W2@1K9s2g2T1i4K6u0W2K9h3!0Q4x3V1k6%4K9h3&6V1L8%4N6K6i4K6u0V1M7%4W2E0j5X3!0D9M7#2)9J5k6r3N6Z5K9h3c8J5j5g2)9J5c8R3`.`. 简言之，ghidra 提供一个 PDB 转换成 xml 的脚本，转换一下数据格式，ghidra 加载 xml 文件即可。这个工具需要 msdia140.dll，安装 Visual Studio 就自带了，当然 x64dbg 也带了，注册一下就行。附件内容是用到的转换工具和 dll 文件，这个 dll 是从一个 x64dbg 版本里面拷贝的最后于 2020-5-10 18:45 被Willarcap编辑，原因：增加附件上传的附件： pdb.zip （1.11MB，15次下载） 2020-5-10 18:41 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 11 关注私信	ZwCopyAll 10 楼已阅 2020-5-10 21:13 0
值得怀疑雪币： 1855 活跃值： (6070) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 361 粉丝 0 关注私信	值得怀疑 11 楼 Willarcap 值得怀疑这个我加载不了pdb符号啊可以参考这篇文章 d23K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1j5h3&6F1P5i4q4#2K9i4y4@1i4K6u0W2k6$3W2@1K9s2g2T1i4K6u0W2K9h3!0Q4x3V1k6%4K9h3&6V1L8%4N6K6i4K6u0V1M7%4W2E0j5X3!0D9 ... 好的多谢··！ ghidra的伪代码好像没 ida的F5好 2020-5-11 11:35 0
值得怀疑雪币： 1855 活跃值： (6070) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 361 粉丝 0 关注私信	值得怀疑 12 楼那这样麻烦吧·· 系统dll也没符号啊 2020-5-11 11:37 0
值得怀疑雪币： 1855 活跃值： (6070) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 361 粉丝 0 关注私信	值得怀疑 13 楼 Willarcap 值得怀疑这个我加载不了pdb符号啊可以参考这篇文章 afcK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1j5h3&6F1P5i4q4#2K9i4y4@1i4K6u0W2k6$3W2@1K9s2g2T1i4K6u0W2K9h3!0Q4x3V1k6%4K9h3&6V1L8%4N6K6i4K6u0V1M7%4W2E0j5X3!0D9 ... 那这样麻烦吧·· 系统dll也没符号啊 2020-5-11 11:38 0
Willarcap 雪币： 11130 活跃值： (5250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 86 粉丝 29 关注私信	Willarcap 14 楼值得怀疑那这样麻烦吧·· 系统dll也没符号啊系统 dll 微软提供 PDB ghidra 和 IDA 只是工具，各有优缺点 2020-5-11 11:55 0
值得怀疑雪币： 1855 活跃值： (6070) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 361 粉丝 0 关注私信	值得怀疑 15 楼要自己生成下那个xml 2020-5-11 12:23 0
Willarcap 雪币： 11130 活跃值： (5250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 86 粉丝 29 关注私信	Willarcap 16 楼今天偶尔看到 Ghidra v9.1.2 发布了，下载地址，openjdk-11.0.2 还可以继续用，具体还没深入用。 c5dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9r3W2V1M7X3q4Q4x3X3c8K6M7X3g2Q4x3X3g2G2M7X3N6Q4x3V1k6Y4K9r3W2V1M7X3q4Q4y4h3j5&6i4K6u0W2x3g2)9J5k6e0u0Q4y4h3k6b7g2f1u0x3d9f1y4Q4y4h3j5J5x3o6t1H3x3o6t1I4x3W2)9J5k6i4A6A6M7l9`.`. 2020-9-23 09:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Willarcap

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 4 关注私信	人在塔在 2 楼 xiexie分享 2020-5-5 19:18 0
Editor 雪币： 42947 活跃值： (65767) 能力值： (RANK：135 ) 在线值：发帖 2220 回帖 4446 粉丝 2078 关注私信	Editor 3 楼谢谢分享! 2020-5-6 17:49 0
库尔雪币： 1372 活跃值： (2100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 190 粉丝 4 关注私信	库尔 4 楼好用是好用，我也正在用，但是动态调试没开发出来，和ida的差距就拉开了，况且还有一堆bug没修复。只能期待动态调试出来在加入这个圈子。 2020-5-9 08:55 0
Willarcap 雪币： 11130 活跃值： (5250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 86 粉丝 29 关注私信	Willarcap 5 楼库尔好用是好用，我也正在用，但是动态调试没开发出来，和ida的差距就拉开了，况且还有一堆bug没修复。只能期待动态调试出来在加入这个圈子。对的，Ghidra、IDA只是工具，更多的是看使用工具的人。作为开源软件，Ghidra 感觉已经挺好了，持续关注吧，老是白嫖 IDA 心里总是过意不去 2020-5-9 15:53 0
luoyesiqiu 雪币： 2722 活跃值： (4050) 能力值： ( LV9，RANK：140 ) 在线值：发帖 7 回帖 89 粉丝 68 关注私信	luoyesiqiu 3 6 楼能跨平台，爱了 2020-5-9 16:19 0
值得怀疑雪币： 1855 活跃值： (6070) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 361 粉丝 0 关注私信	值得怀疑 7 楼这个我加载不了pdb符号啊 2020-5-10 17:04 0
Willarcap 雪币： 11130 活跃值： (5250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 86 粉丝 29 关注私信	Willarcap 8 楼值得怀疑这个我加载不了pdb符号啊可以参考这篇文章 393K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1j5h3&6F1P5i4q4#2K9i4y4@1i4K6u0W2k6$3W2@1K9s2g2T1i4K6u0W2K9h3!0Q4x3V1k6%4K9h3&6V1L8%4N6K6i4K6u0V1M7%4W2E0j5X3!0D9M7#2)9J5k6r3N6Z5K9h3c8J5j5g2)9J5c8R3`.`. 简言之，ghidra 提供一个 PDB 转换成 xml 的脚本，转换一下数据格式，ghidra 加载 xml 文件即可。这个工具需要 msdia140.dll，安装 Visual Studio 就自带了，当然 x64dbg 也带了，注册一下就行。附件内容是用到的转换工具和 dll 文件，这个 dll 是从一个 x64dbg 版本里面拷贝的最后于 2020-5-10 18:45 被Willarcap编辑，原因：增加附件上传的附件： pdb.zip （1.11MB，15次下载） 2020-5-10 18:41 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 11 关注私信	ZwCopyAll 10 楼已阅 2020-5-10 21:13 0
值得怀疑雪币： 1855 活跃值： (6070) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 361 粉丝 0 关注私信	值得怀疑 11 楼 Willarcap 值得怀疑这个我加载不了pdb符号啊可以参考这篇文章 d23K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1j5h3&6F1P5i4q4#2K9i4y4@1i4K6u0W2k6$3W2@1K9s2g2T1i4K6u0W2K9h3!0Q4x3V1k6%4K9h3&6V1L8%4N6K6i4K6u0V1M7%4W2E0j5X3!0D9 ... 好的多谢··！ ghidra的伪代码好像没 ida的F5好 2020-5-11 11:35 0
值得怀疑雪币： 1855 活跃值： (6070) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 361 粉丝 0 关注私信	值得怀疑 12 楼那这样麻烦吧·· 系统dll也没符号啊 2020-5-11 11:37 0
值得怀疑雪币： 1855 活跃值： (6070) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 361 粉丝 0 关注私信	值得怀疑 13 楼 Willarcap 值得怀疑这个我加载不了pdb符号啊可以参考这篇文章 afcK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6V1j5h3&6F1P5i4q4#2K9i4y4@1i4K6u0W2k6$3W2@1K9s2g2T1i4K6u0W2K9h3!0Q4x3V1k6%4K9h3&6V1L8%4N6K6i4K6u0V1M7%4W2E0j5X3!0D9 ... 那这样麻烦吧·· 系统dll也没符号啊 2020-5-11 11:38 0
Willarcap 雪币： 11130 活跃值： (5250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 86 粉丝 29 关注私信	Willarcap 14 楼值得怀疑那这样麻烦吧·· 系统dll也没符号啊系统 dll 微软提供 PDB ghidra 和 IDA 只是工具，各有优缺点 2020-5-11 11:55 0
值得怀疑雪币： 1855 活跃值： (6070) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 361 粉丝 0 关注私信	值得怀疑 15 楼要自己生成下那个xml 2020-5-11 12:23 0
Willarcap 雪币： 11130 活跃值： (5250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 86 粉丝 29 关注私信	Willarcap 16 楼今天偶尔看到 Ghidra v9.1.2 发布了，下载地址，openjdk-11.0.2 还可以继续用，具体还没深入用。 c5dK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9r3W2V1M7X3q4Q4x3X3c8K6M7X3g2Q4x3X3g2G2M7X3N6Q4x3V1k6Y4K9r3W2V1M7X3q4Q4y4h3j5&6i4K6u0W2x3g2)9J5k6e0u0Q4y4h3k6b7g2f1u0x3d9f1y4Q4y4h3j5J5x3o6t1H3x3o6t1I4x3W2)9J5k6i4A6A6M7l9`.`. 2020-9-23 09:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复