Ghidra解释说

一种具有深远影响的复杂工具

经过 威斯利·麦格伦博士,Cyber​​ Cyber​​董事总监

3月5日,国家安全局(NSA)正式发布的GHIDRA,该软件套件,NSA希望帮助网络安全专业人士“使我们的伟大国家的网络安全更好”。虽然该软件的发布既有重要又高,但它的使用是专业化的,所以有更多的人会对它提出有关那些有答案的问题。

让我们从最简单的问题开始:什么是Ghidra? Ghidra(Ghee-Druh)是软件逆向工程的框架。考虑一个(非常)简化的开发过程:

要求> Design > Implementation > Distribution

使用软件,“实现”步骤涉及开发人员编写由完成程序目标的指令组成的代码。无论是单词处理器格式化文本还是从站点检索它的Web浏览器,软件程序需要的每个动作都需要数百个编程指令(希望)反映设计和要求。开发人员编写的代码包含名称,结构和自由表格评论,帮助这些开发人员表达他们实现设计的方式。

在软件前往最终用户之前,必须构建该程序的可分配版本。构建过程涉及将开发人员写入的代码转换为可以被计算机解释和执行的表单。这种最终形式对于人类开发人员来说更难以阅读。开发过程导致(再次,希望)符合其要求的程序,实现设计,并以这样的方式分发,即最终用户没有进入或理解该设计的简单方法,即使他们可以运行该程序。

软件逆向工程过程涉及检查分布式程序并试图回答有关其实现和设计的问题。 Ghidra采用计算机可读代码,并帮助分析师将其翻译重新转换为人类可读的东西。如果没有原始的开发人员的笔记,评论,设计文档甚至函数的名称,它是一个难题,用于找出某些代码块和内存区域的目的。 Ghidra作为分析师的用户界面,以便在分析师删除时阅读,操纵和添加评论和名称。

当在违约中发现恶意程序时,第一步是确定它的作用。与文字处理器不同,计算机病毒和勒索软件未经故意和愿意地安装。必须应用软件逆向工程过程以确定恶意软件的全套功能。一旦发现了违规行为,分析师将寻求回答问题,例如这种恶意软件如何加密我的数据,以及如何可靠地检测到其他系统上此恶意软件的存在?漏洞分析师还使用软件逆向工程来读取代码,识别软件的设计和实现中的缺陷,并确定这些缺陷的安全影响。

当前软件逆向工程工具中尚未存在Ghidra的主要特征。最大的区别是Ghidra及其源代码是免费的,让每个人都使用,扩展和修改。最近的竞争对手GHIDRA在许可费中花费了数千美元。虽然存在其他低成本和免费选项,但Ghidra拥有市场上最完整的功能和最佳用户界面。由于其允许许可,Ghidra也有可能被更广泛的受众作为代码分析自动化的起点。

但这并不意味着每个人都应该用两脚跳到。软件逆向工程是一种专业技能。如果您认为深技术网络安全有技能短缺,那么逆向工程是一种更专业的专业知识,需要对编程和计算机架构进行复杂的理解。

许多安全专业人员将能够在广泛的服务中利用Ghidra。例如,在Horne网络,我们的分析师识别软件产品中的漏洞,使用软件逆向工程开发新工具来评估网络安全性并监控客户网络上的恶意代码,并提供关于积极措施的建议。

对于大多数公司来说,它是不切实际甚至成本持平的,以保持全职专业人员对工作人员的逆向工程技能。更有可能应用Ghidra的应用程序将与在“Edge”的某些提供商中删除安全服务参与,并且大多数分析师能够执行代码的基本逆向工程。虽然确定框架-Ghidra或其他安全服务提供商不一定是重要的,但您可能希望向您的提供商询问逆向工程中的能力,容量和结构以及它如何适用于您的服务获取。

Ghidra是专业的实践领域的专业工具,但其释放非常有影响。它可能不仅增加了技术安全人才池的大小,而且可能导致更好的服务和改进的网络安全。

关于作者

Wesley McGrew博士担任Horne Cyber​​的网络行动总监。韦斯利以违规的网络安全为导向的网络安全,旨在专注于渗透测试,漏洞分析,恶意软件和网络流量分析的逆向工程。 Wesley是许多从业者使用的渗透测试和法医学工具的作者。他是Def Con和Black Hat USA的常客。在国家取消学培训中心,他向执法和受伤退伍军人提供了数字取证培训。作为一名兼职教授,他设计了他在密西西比州州立大学的学生教授越野,使用现实世界,高调恶意软件样本。这项努力是作为盈利国家安全机构CAE Cyber​​ OPS认证的一部分进行的。他向DHS联合工作组提供了对工业控制系统的关键基础设施安全的工作。韦斯利赢得了他的博士学位。密西西比州州立大学计算机科学研究国家关键基础设施中使用的SCADA HMI系统脆弱性分析研究。韦斯利可以找到 @mcgrewsecurity. 在我们公司网站上 //hornecyber.com/.

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请