Ghidra là gì và tại sao nó quan trọng?


Một phần lớn trong việc giải quyết các vi-rút mới đang tìm ra cách chúng hoạt động. Để làm điều đó, bạn cần phải thiết kế ngược lại. 0(NSA) rõ ràng phải thực hiện loại công việc này rất nhiều, vì vậy họ đã tạo ra công cụ của riêng mình, được gọi là Ghidra để giúp họ làm điều này.

Nhân tiện, nó phát âm Ghee-Drain. Nó được phát hành ra công chúng miễn phí và dưới dạng nguồn mở vào ngày 5 tháng 3 th, 2019, tại Hội nghị RSA ở San Francisco. Bạn thậm chí có thể xem ghi chú thuyết trình Ghidra từ Robert Joyce, Cố vấn cao cấp của Cơ quan An ninh Quốc gia (NSA).

Để thực sự hiểu tại sao việc phát hành Ghidra lại quan trọng, chúng ta cần hiểu kỹ thuật đảo ngược và sử dụng để làm gì.

Reverse Kỹ thuật và tại sao nó được sử dụng?

Nói chung, kỹ thuật đảo ngược (RE) đề cập đến quá trình tách rời một cái gì đó để tìm ra cách nó được tạo ra. Bạn có thể đã thực hiện điều này với một thiết bị nhỏ ở nhà, chỉ cần cố gắng tìm ra cách khắc phục chính mình. Nhưng chúng tôi nói về RE một chương trình. Nó chỉ là mã, phải không? Chúng ta sẽ không nhìn vào mã đằng sau nó?

Khi bạn viết chương trình bằng ngôn ngữ như C hoặc Java, có một bước giữa viết chương trình và có thể sử dụng chương trình này trên máy tính. Ngôn ngữ bạn lập trình trong đó có thể đọc được cho bạn, nhưng không nhất thiết phải đọc được trên máy tính. Nó phải được dịch sang một cái gì đó mà máy tính có thể làm việc với. Quá trình này được gọi là biên dịch.

Sau khi chương trình được biên dịch, nó không còn có thể đọc được.

In_content_1 tất cả: [300x250] / dfp: [640x360]->

Nếu bạn muốn tìm hiểu chương trình đó hoạt động như thế nào, bạn cần tách nó ra đến mức bạn có thể thấy những gì trong đó. Bạn cần atoolkit cho điều đó, giống như bạn cần một bộ công cụ tua vít và cờ lê tổng hợp về một thiết bị hoặc động cơ nhỏ.

That mà nơi Ghidra đến chơi. Nó khác một phần mềm xây dựng hộp công cụ để xem cách nó đánh dấu. Đã có các similartools khác như IDA, Radare và Binary Ninja.

NSA sử dụng Ghidra để lấy vi-rút, phần mềm độc hại và các chương trình khác có thể gây ra mối đe dọa cho an ninh quốc gia. Sau đó, dựa trên những gì họ tìm thấy, họ phát triển một kế hoạch hành động để đối phó với mối đe dọa. Gần đây, với rất nhiều sự kiện hack do nhà nước tài trợ trong các tin tức gần đây, bạn có biết đây là một vấn đề lớn.

Bất cứ ai cũng có thể sử dụng Ghidra?

Không chính xác. Bạn cần phải có một số thành thạo với lập trình ít nhất. Bạn không cần phải là một kỹ sư phần mềm, nhưng nếu bạn đã thực hiện một vài khóa học đại học về lập trình, bạn có thể vào Ghidra vàdạy cho bạn cách sử dụng nó.

Plus, trang web chính thức của Ghidra cũng có hướng dẫn cài đặt, tài liệu tham khảo nhanh, wiki và trình theo dõi vấn đề. Quan điểm cung cấp tất cả những thứ đó là để mọi người có thể học hỏi và cùng nhau làm cho thế giới an toàn hơn trước các tin tặc độc hại.

NSA đang làm điều này để cải thiện các công cụ bảo mật không gian mạng, thành công, xây dựng một cộng đồng những người nghiên cứu thành thạo Ghidra và đóng góp cho sự phát triển của nó, như được viết trong bài thuyết trình của Robert Joyce. / p>

Vậy tại sao Ghidra là một giao dịch lớn?

Đó là từ NSA. Công ty nào có loại tài nguyên mà một cơ quan liên bang Hoa Kỳ có? Những loại kinh nghiệm nào mà ngay cả công ty bảo mật tốt nhất cũng có thể có được so với một cơ quan được giao nhiệm vụ vì sự an toàn của quốc gia hùng mạnh nhất trên Trái đất?

Vì vậy, vâng, nó là một công cụ rất mạnh. Nhà nghiên cứu bảo mật Quân đoàn Joxen đã tweet Vì vậy, Ghidra s ** ts trên tất cả các công cụ RE khác ngoài đó với ngoại lệ duy nhất là IDA.

Sau đó, khía cạnh miễn phí. Bằng cách có thể có được công cụ RE mạnh nhất miễn phí, thanh nhập vào nghiên cứu bảo mật đã được hạ xuống chỉ đơn giản là sở hữu một máy tính và có quyền truy cập Internet.

Đây là một phần lý do tại sao NSA phát hành nó. Họ hy vọng rằng một thế hệ các nhà nghiên cứu mới sẽ trở nên thành thạo với nó và xem xét sự nghiệp với NSA.

Sau đó, có nguồn mở khía cạnh. Cơ quan an ninh aren nổi tiếng vì để mọi người nhìn phía sau bức màn vì một lý do chính đáng. Nếu bạn biết làm thế nào họ làm những gì họ làm, nó trở nên dễ dàng hơn để cản trở họ. Tuy nhiên, toàn bộ mã nguồn của Ghidra đang được công khai để bất kỳ ai cũng có thể lướt qua nó và xem chính xác cách thức hoạt động của nó.

Và, không, không có báo cáo nào về các cửa hậu của chính phủ trong đó. Ron Joyce đã giải quyết một cách nhanh chóng rằng, cộng đồng nghiên cứu bảo mật, đã, đó là cộng đồng cuối cùng mà bạn muốn phát hành một cái gì đó với một cửa hậu được cài đặt, cho những người săn lùng thứ này để xé tan. = "Lazy wp-block-image">

Từ quan điểm giáo dục, Ghidra cũng cho phép các kỹ sư của phần mềm phát triển các chương trình riêng biệt để xem cách chúng hoạt động và sau đó learnhow để làm một cái gì đó tương tự với các dự án của riêng họ. Nhìn vào mã người khác từ lâu đã trở thành một thông lệ được chấp nhận giữa các lập trình viên và nhà phát triển để trở thành lập trình viên giỏi hơn. Nếu mã đó được chia sẻ công khai, dĩ nhiên.

Có lẽ thỏa thuận lớn nhất là Ghidra được thiết kế để được sử dụng hợp tác. Bạn có thể có một kho lưu trữ được chia sẻ với đồng nghiệp hoặc bạn bè của mình để tất cả bạn có thể làm việc trên một dự án cùng một lúc. Điều đó làm tăng tốc quá trình phân tích một cách đáng kể.

Bây giờ là gì?

Chính phủ liên bang Hoa Kỳ đã cam kết phát hành ngày càng nhiều phần mềm liên quan đến bảo mật. Một số trong số đó sẽ có bản chất kỹ thuật, như Ghidra, và một số trong đó sẽ thân thiện với người dùng hơn, như phiên bản tăng cường bảo mật của Android.

Tất cả đều báo trước một thời gian duy nhất của sự hợp tác của chính phủ và dân sự đối với việc giữ cho cơ sở hạ tầng dữ liệu của chúng ta an toàn nhất có thể.

U.S. Dịch vụ bí mật - https://www.secretservice.gov/data/press/reports/USSS_FY2013AR.pdf

https://media.defense.gov/2012/Apr/27/2000157039/-1/-1/0/120417-F-JM997-405.JPG

16 bí quyết sinh tồn ít được biết đến này sẽ có thể cứu mạng chúng ta đấy

bài viết liên quan:


20.03.2019