[分享] Ghidra 分析程序及个人感受-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[分享] Ghidra 分析程序及个人感受

发表于: 2020-5-5 18:36 10240

[分享] Ghidra 分析程序及个人感受

Willarcap

2020-5-5 18:36

10240

PS: 本文以 crackme https://crackmes.one/crackme/5b8a37a433c5d45fc286ad83 为例，分享 Ghidra 的使用过程，解题不是本文重点。

本人采用 openjdk11，ghidra 9.0.4 版本，运行 ghidraRun 文件，提示输入 jdk 路径，这里输入 /usr/lib/jvm/java-11-openjdk-amd64。这里用普通用户权限也可以。

新建项目，并导入crackme

file -> New Project 新建项目，直接将 crackme 鼠标拖入 project，Ghidra 自动识别文件类型，这里保持默认

这里提示一些文件信息，点击 OK 即可

然后双击这个程序，打开 "CodeBrowser " 即“代码浏览器”，提示是否需要分析，选择 “是”

看右下角的分析进度，快慢视程序大小、是否加壳等而定。

修改文件快捷键 Ctrl + Shift + G ,修改完毕之后导出文件： File -> Export File

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

收藏・20

免费・1

支持

最新回复 (15)
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 2 楼 xiexie分享 2020-5-5 19:18 0
Editor 雪币： 26205 活跃值： (63302) 能力值： (RANK：135 ) 在线值：发帖 1611 回帖 4397 粉丝 1776 关注私信	Editor 3 楼谢谢分享! 2020-5-6 17:49 0
库尔雪币： 1319 活跃值： (1960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 190 粉丝 3 关注私信	库尔 4 楼好用是好用，我也正在用，但是动态调试没开发出来，和ida的差距就拉开了，况且还有一堆bug没修复。只能期待动态调试出来在加入这个圈子。 2020-5-9 08:55 0
Willarcap 雪币： 10361 活跃值： (4560) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 86 粉丝 15 关注私信	Willarcap 5 楼库尔好用是好用，我也正在用，但是动态调试没开发出来，和ida的差距就拉开了，况且还有一堆bug没修复。只能期待动态调试出来在加入这个圈子。对的，Ghidra、IDA只是工具，更多的是看使用工具的人。作为开源软件，Ghidra 感觉已经挺好了，持续关注吧，老是白嫖 IDA 心里总是过意不去 2020-5-9 15:53 0
luoyesiqiu 雪币： 2685 活跃值： (3715) 能力值： ( LV9，RANK：140 ) 在线值：发帖 7 回帖 88 粉丝 64 关注私信	luoyesiqiu 3 6 楼能跨平台，爱了 2020-5-9 16:19 0
值得怀疑雪币： 2325 活跃值： (4913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 7 楼这个我加载不了pdb符号啊 2020-5-10 17:04 0
Willarcap 雪币： 10361 活跃值： (4560) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 86 粉丝 15 关注私信	Willarcap 8 楼值得怀疑这个我加载不了pdb符号啊可以参考这篇文章 https://dannyquist.github.io/windows-symbols-ghidra/ 简言之，ghidra 提供一个 PDB 转换成 xml 的脚本，转换一下数据格式，ghidra 加载 xml 文件即可。这个工具需要 msdia140.dll，安装 Visual Studio 就自带了，当然 x64dbg 也带了，注册一下就行。附件内容是用到的转换工具和 dll 文件，这个 dll 是从一个 x64dbg 版本里面拷贝的最后于 2020-5-10 18:45 被Willarcap编辑，原因：增加附件上传的附件： pdb.zip （1.11MB，14次下载） 2020-5-10 18:41 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 10 楼已阅 2020-5-10 21:13 0
值得怀疑雪币： 2325 活跃值： (4913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 11 楼 Willarcap 值得怀疑这个我加载不了pdb符号啊可以参考这篇文章 https://dannyquist.github.io/windows-symbol ... 好的多谢··！ ghidra的伪代码好像没 ida的F5好 2020-5-11 11:35 0
值得怀疑雪币： 2325 活跃值： (4913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 12 楼那这样麻烦吧·· 系统dll也没符号啊 2020-5-11 11:37 0
值得怀疑雪币： 2325 活跃值： (4913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 13 楼 Willarcap 值得怀疑这个我加载不了pdb符号啊可以参考这篇文章 https://dannyquist.github.io/windows-symbol ... 那这样麻烦吧·· 系统dll也没符号啊 2020-5-11 11:38 0
Willarcap 雪币： 10361 活跃值： (4560) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 86 粉丝 15 关注私信	Willarcap 14 楼值得怀疑那这样麻烦吧·· 系统dll也没符号啊系统 dll 微软提供 PDB ghidra 和 IDA 只是工具，各有优缺点 2020-5-11 11:55 0
值得怀疑雪币： 2325 活跃值： (4913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 15 楼要自己生成下那个xml 2020-5-11 12:23 0
Willarcap 雪币： 10361 活跃值： (4560) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 86 粉丝 15 关注私信	Willarcap 16 楼今天偶尔看到 Ghidra v9.1.2 发布了，下载地址，openjdk-11.0.2 还可以继续用，具体还没深入用。 https://ghidra-sre.org/ghidra_9.1.2_PUBLIC_20200212.zip 2020-9-23 09:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Willarcap

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
人在塔在雪币： 144 活跃值： (335) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 391 粉丝 3 关注私信	人在塔在 2 楼 xiexie分享 2020-5-5 19:18 0
Editor 雪币： 26205 活跃值： (63302) 能力值： (RANK：135 ) 在线值：发帖 1611 回帖 4397 粉丝 1776 关注私信	Editor 3 楼谢谢分享! 2020-5-6 17:49 0
库尔雪币： 1319 活跃值： (1960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 190 粉丝 3 关注私信	库尔 4 楼好用是好用，我也正在用，但是动态调试没开发出来，和ida的差距就拉开了，况且还有一堆bug没修复。只能期待动态调试出来在加入这个圈子。 2020-5-9 08:55 0
Willarcap 雪币： 10361 活跃值： (4560) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 86 粉丝 15 关注私信	Willarcap 5 楼库尔好用是好用，我也正在用，但是动态调试没开发出来，和ida的差距就拉开了，况且还有一堆bug没修复。只能期待动态调试出来在加入这个圈子。对的，Ghidra、IDA只是工具，更多的是看使用工具的人。作为开源软件，Ghidra 感觉已经挺好了，持续关注吧，老是白嫖 IDA 心里总是过意不去 2020-5-9 15:53 0
luoyesiqiu 雪币： 2685 活跃值： (3715) 能力值： ( LV9，RANK：140 ) 在线值：发帖 7 回帖 88 粉丝 64 关注私信	luoyesiqiu 3 6 楼能跨平台，爱了 2020-5-9 16:19 0
值得怀疑雪币： 2325 活跃值： (4913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 7 楼这个我加载不了pdb符号啊 2020-5-10 17:04 0
Willarcap 雪币： 10361 活跃值： (4560) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 86 粉丝 15 关注私信	Willarcap 8 楼值得怀疑这个我加载不了pdb符号啊可以参考这篇文章 https://dannyquist.github.io/windows-symbols-ghidra/ 简言之，ghidra 提供一个 PDB 转换成 xml 的脚本，转换一下数据格式，ghidra 加载 xml 文件即可。这个工具需要 msdia140.dll，安装 Visual Studio 就自带了，当然 x64dbg 也带了，注册一下就行。附件内容是用到的转换工具和 dll 文件，这个 dll 是从一个 x64dbg 版本里面拷贝的最后于 2020-5-10 18:45 被Willarcap编辑，原因：增加附件上传的附件： pdb.zip （1.11MB，14次下载） 2020-5-10 18:41 0
ZwCopyAll 雪币： 259 活跃值： (283) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 266 粉丝 10 关注私信	ZwCopyAll 10 楼已阅 2020-5-10 21:13 0
值得怀疑雪币： 2325 活跃值： (4913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 11 楼 Willarcap 值得怀疑这个我加载不了pdb符号啊可以参考这篇文章 https://dannyquist.github.io/windows-symbol ... 好的多谢··！ ghidra的伪代码好像没 ida的F5好 2020-5-11 11:35 0
值得怀疑雪币： 2325 活跃值： (4913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 12 楼那这样麻烦吧·· 系统dll也没符号啊 2020-5-11 11:37 0
值得怀疑雪币： 2325 活跃值： (4913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 13 楼 Willarcap 值得怀疑这个我加载不了pdb符号啊可以参考这篇文章 https://dannyquist.github.io/windows-symbol ... 那这样麻烦吧·· 系统dll也没符号啊 2020-5-11 11:38 0
Willarcap 雪币： 10361 活跃值： (4560) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 86 粉丝 15 关注私信	Willarcap 14 楼值得怀疑那这样麻烦吧·· 系统dll也没符号啊系统 dll 微软提供 PDB ghidra 和 IDA 只是工具，各有优缺点 2020-5-11 11:55 0
值得怀疑雪币： 2325 活跃值： (4913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 357 粉丝 0 关注私信	值得怀疑 15 楼要自己生成下那个xml 2020-5-11 12:23 0
Willarcap 雪币： 10361 活跃值： (4560) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 86 粉丝 15 关注私信	Willarcap 16 楼今天偶尔看到 Ghidra v9.1.2 发布了，下载地址，openjdk-11.0.2 还可以继续用，具体还没深入用。 https://ghidra-sre.org/ghidra_9.1.2_PUBLIC_20200212.zip 2020-9-23 09:37 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复