Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Annotate Windows API!

Be27f3e349639f80e28f5fff1d0bc4a2?s=47 Bigdrea6
October 17, 2021
Programming
0
37

Annotate Windows API!

seccamp2021のZ7トラックで制作したGhidraの拡張機能の説明スライドです

Be27f3e349639f80e28f5fff1d0bc4a2?s=128

Bigdrea6

October 17, 2021
Tweet

More Decks by Bigdrea6

See All by Bigdrea6
Bluetooth Mesh
Be27f3e349639f80e28f5fff1d0bc4a2?s=48 bigdrea6
0
10
Bluetoothのあれこれ
Be27f3e349639f80e28f5fff1d0bc4a2?s=48 bigdrea6
0
18
Fileless Malware !
Be27f3e349639f80e28f5fff1d0bc4a2?s=48 bigdrea6
0
67

Other Decks in Programming

See All in Programming
Rに管理されてみる
154699a2e3d8b497494a5ee118f211a5?s=48 kazutan
0
260
FargateとAthenaで作る、機械学習システム
2e7553bdade564572b26060b4a58b98e?s=48 nayuts
0
190
Rust、何もわからない...#3
5d9c07f0c2044b1407a84d88362bc84d?s=48 estie
0
170
Register-based calling convention for Go functions
86d54dc23ace2b5920f7d5777949ed8f?s=48 cjamhe01385
0
420
ZOZOTOWNにおけるDatadogの活用と、それを支える全社管理者の取り組み / 2022-07-27
198d69383210fbec8c6bea4a35863c9d?s=48 tippy
1
3.5k
Pluggable Storage in PostgreSQL
62f5ee39e37ba4f8a22acc714781c879?s=48 sira
1
190
回帰分析ではlm()ではなくestimatr::lm_robust()を使おう / TokyoR100
7a0892afffbcbd35fd84d46508b3a914?s=48 dropout009
0
4.6k
Automating Gradle benchmarks at N26
D4b7a3e2ed10f86e0b52498713ba2601?s=48 ubiratansoares
PRO
2
150
Dagger, la CI, autrement
27021de2df79d619a3ebf52ab6392e82?s=48 guikingone
1
120
Atomic Design とテストの○○な話
Fd3e212c7b5255c6164d7d52bfe79dfb?s=48 takfjp
2
820
Agile Tech EXPO_2022/カケハシ
79d1f8ec70d4c77a2eb30052bef0fe35?s=48 kakehashi
0
110
Cloudflare WorkersでGoのHTTPサーバーを動かすライブラリを作った話
5e511bb6d01d856b4ec7a0e5b1f6a2f0?s=48 syumai
0
150

Featured

See All Featured
The Language of Interfaces
Fde6c3a50ca518a909ef35c22c0ee0e4?s=48 destraynor
148
21k
Rails Girls Zürich Keynote
24fc194843a71f10949be18d5a692682?s=48 gr2m
87
12k
GraphQLの誤解/rethinking-graphql
3cb4e761dbdb7aebd1ffd85f752e1e3e?s=48 sonatard
31
6.8k
Dealing with People You Can't Stand - Big Design 2015
44b54d2ffcb7857004071cc6795dde11?s=48 cassininazir
351
21k
Writing Fast Ruby
1f74b13f1e5c6c69cb5d7fbaabb1e2cb?s=48 sferik
612
57k
Designing with Data
F57e2136eb9895eb95ff5dc8a1c02677?s=48 zakiwarfel
91
4k
Fireside Chat
864a009ac73600c7c02e1f26629dd989?s=48 paigeccino
13
1.4k
In The Pink: A Labor of Love
E837d2996f52008ace055a08fbfff992?s=48 frogandcode
131
21k
Fontdeck: Realign not Redesign
0bce06bd06ee7a2c4f5500f25dcf7f18?s=48 paulrobertlloyd
73
4.1k
Code Reviewing Like a Champion
C7393b7ba7ec9c8890dd77d209fbb3c9?s=48 maltzj
506
37k
How STYLIGHT went responsive
F716e5f737fcfb03f2cf8d1a184f1dbe?s=48 nonsquared
85
4k
Statistics for Hackers
56c4053438af8e8b90d6f53cbb7573be?s=48 jakevdp
782
210k

Transcript

  1. Annotate Windows API ! Z-VII リバースエンジニアリングを支えるGhidra拡張機能の開発

  2. • 高専4年 • Cトラック + Z-VII • Twitter : @Bigdrea6_

    • Github : Bigdrea6 今回発表するスクリプトは以下に上げています https://github.com/Bigdrea6/winapi-ghidra 自己紹介

  3. Ghidraのおさらい、 Ghidra API CookBookの学習&ハンズオン Day1 Day2 Day3 Flow Ghidra Scriptの開発演習、各自の

    テーマで拡張機能の実装開始 オレオレ拡張機能のお披露目会 8/22、9/19、9/26 当日ごとの感想+メモは https://scrapbox.io/bigdrea6/ の キャンプ五日目(後半)、キャンプ七日目(後半)、キャンプ八日目(後半)にあります。

  4. As a PE Analyst I want WindowsAPIの詳細表示 So that 見やすい

    + なんとなく分かる User Story • 日頃はELFを触ることが多い(CTFとか) • 名前で予測できないWindows API。なんの意味を持つかいまいち分からない引数たち。 これを毎回調べるのは時間がかかる。

  5. call_api_table.py api_summary.py auto_equate_setting.py (by my dictionary) 01 02 03 04

    auto_equate_setting.py (by gdt) Step APIをCALLするアドレスとそのAPIを一覧表示する APIの概要をコメントもしくはAPIにかざした際に見えるようにする 一部のAPIの引数(constのみ)にequateをセットする gdtから行うことである程度のAPIに対応する キャンプ中

  6. call_api_table.py Logic and results of this script 01 APIをCALLするアドレスとそのAPIを一覧表示する

  7. Logic Ghidraの解析後の情報を扱う 1. すべての外部参照に対するイテレータを取る 2. 参照タイプがcallであるかのチェック 3. このイテレータからアドレス、APIの取得 4. アドレスの順番に表示

    + APIの種類数、CALL数の表示 修正していないミス -> Thunk FunctionとかができあがるAPIはこれで拾えない 1. https://ghidra.re/ghidra_docs/api/ghidra/program/model/symbol/ReferenceManager.html#getExternalReferences() 2. https://ghidra.re/ghidra_docs/api/ghidra/program/model/symbol/Reference.html#getReferenceType() 3. https://ghidra.re/ghidra_docs/api/ghidra/program/model/symbol/Reference.html#getFromAddress() 4. https://ghidra.re/ghidra_docs/api/ghidra/app/events/ExternalReferencePluginEvent.html#getExternalLocation() 5. https://ghidra.re/ghidra_docs/api/ghidra/program/database/external/ExternalLocationDB.html#getLabel() Ghidra APIの情報

  8. Results

  9. auto_equate_setting.py Logic and results of this script 03 一部のAPIの引数(constのみ)にequateをセットする

  10. Logic Ghidraのデコンパイル後のPCodeを扱う PCodeとはGhidra独自の中間言語 1. APIの引数の取得 2. タイプがconstか、constであればoffsetの取得 3. equateを作成した辞書とoffsetの照らし合わせで決定する 4.

    equateのセット。ここでDynamicHashを使用することでPUSHのアドレスがいらない 対応しているAPIは次の4つ。 CreateProcessA、RegCreateKeyExA、RegValueExA、SHGetSpecialFolderPathA 1. https://ghidra.re/ghidra_docs/api/ghidra/program/database/symbol/EquateManager.html#createEquate(java.lang.String,long) 2. https://ghidra.re/ghidra_docs/api/ghidra/program/model/pcode/DynamicHash.html#%3Cinit%3E(ghidra.program.model.pcode.Varnode,int) 3. https://ghidra.re/ghidra_docs/api/ghidra/program/model/symbol/Equate.html#addReference(long,ghidra.program.model.address.Address) Ghidra APIの情報

  11. ① ① ② ② ③ ③

  12. Results ① ② ③ ④

  13. Future • 引数のタイプに依存しない(unique, register, stack) ※ポインタはequate付の対象外 • 対応APIの増加 • 変数名の変更とか(local_210

    → pszPath) Before After

  14. Impressions • Z7でスクリプトを2つほど制作したが、講師の方々の力が大きいのでキャンプ後も続けて 自分のスクリプトを完成させる • スクリプト開発だけでなくGhidraの仕様や豆技術も知れたのがよかった • Ghidraは拡張することで使いやすくできる。積極的に開発していくべきである • インスタ映えではなくGhidra映えを考えて生きていく

    • ボタン適当に押せばおもしろい機能に出会える • PCodeとtoAddrは偉大である

  15. CREDITS ◂ Icons by Flaticon ◂ Presentation template by Slidesgo

    ◂ Ghidra API information by ghidra.re ◂ Windows API information by MSDN ◂ English by DeepL ご清聴ありがとうございました