开源一个Linux进程内存内核管理模块源码
2020-05-06 19:26:49 Author: bbs.pediy.com(查看原文) 阅读量:457 收藏

[分享] Ghidra 分析程序及个人感受

23小时前 412

PS: 本文以 crackme https://crackmes.one/crackme/5b8a37a433c5d45fc286ad83 为例,分享 Ghidra 的使用过程,解题不是本文重点。

0x01 Ghidra 准备

本人采用 openjdk11,ghidra 9.0.4 版本,运行 ghidraRun 文件,提示输入 jdk 路径,这里输入 /usr/lib/jvm/java-11-openjdk-amd64。这里用普通用户权限也可以。

image-20200505174454202

新建项目,并导入crackme

file -> New Project 新建项目,直接将 crackme 鼠标拖入 project,Ghidra 自动识别文件类型,这里保持默认

image-20200505175113948

image-20200505175242603

这里提示一些文件信息,点击 OK 即可

image-20200505175346014

然后双击这个程序,打开 "CodeBrowser " 即“代码浏览器”,提示是否需要分析,选择 “是”

image-20200505175658887

看右下角的分析进度,快慢视程序大小、是否加壳等而定。

image-20200505180057518

image-20200505180236033

image-20200505180408976

0x02 正文开始

image-20200505180556341

image-20200505180838795

image-20200505180907228

image-20200505181104883

image-20200505181244378

image-20200505181405646

image-20200505181703877

修改文件 快捷键 Ctrl + Shift + G ,修改完毕之后导出文件: File -> Export File

image-20200505181939443

image-20200505182315627

image-20200505182343538

这里清理完之后就能自己转换数据了,一般用于转换数据

0x03 个人观点

Ghidra 个人感觉还是比较好用的,里面很多功能还没有介绍,但是基本和 IDA 大同小异了。个人最喜欢的地方是可以直接修改函数 signature,分析一些文件可以不用动态了(动静态分析都有各自的优缺点,根据实际具体运用即可)。我是一个么的感情的工具人,完结,撒花。 各位劳动节快乐鸭~

[培训]科锐逆向工程师培训班38期--远程教学预课班将于 2020年5月28日 正式开班!


文章来源: https://bbs.pediy.com/thread-259325.htm
如有侵权请联系:admin#unsafe.sh