Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PLAY & PLAY & PLAY with Ghidra Debugger

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for mopi mopi
August 10, 2021
Technology
0
320

PLAY & PLAY & PLAY with Ghidra Debugger

【セキュリティ・キャンプ全国大会2021オンライン】のLT大会で使用した資料です。

Avatar for mopi

mopi

August 10, 2021
Tweet

More Decks by mopi

See All by mopi
Discordを乗っ取るマルウェアの解析
Avatar for mopi mopisec
0
140
Analyzing C# (.NET) Malware
Avatar for mopi mopisec
1
530
DetExploit - Windows用OSS脆弱性スキャナー (未踏ジュニア最終成果報告会)
Avatar for mopi mopisec
0
140

Other Decks in Technology

See All in Technology
オレ達はAWS管理をやりたいんじゃない!開発の生産性を爆アゲしたいんだ!!
Avatar for wkm2 wkm2
4
430
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
Avatar for oracle4engineer oracle4engineer
PRO
8
7.1k
SaaSからAIへの過渡期の中で現在、組織内で起こっている変化 / SaaS to AI Paradigm Shift
Avatar for AEON aeonpeople
0
110
タスク管理も1on1も、もう「管理」じゃない ― KiroとBedrock AgentCoreで変わった"判断の仕事"
Avatar for Yusuke Shimizu yusukeshimizu
5
2k
組織全体で実現する標準監視設計
Avatar for Yuto Obayashi yuobayashi
1
180
ナレッジワークのご紹介(第88回情報処理学会 )
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
0
120
us-east-1 に障害が起きた時に、 ap-northeast-1 にどんな影響があるか 説明できるようになろう!
Avatar for Kazuki Miura miu_crescent
PRO
13
3.9k
JAWS Days 2026 楽しく学ぼう! 認証認可 入門/20260307-jaws-days-novice-lane-auth
Avatar for opelab opelab
9
1.6k
Oracle Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
4
1.1k
Ultra Ethernet (UEC) v1.0 仕様概説
Avatar for Masayuki Kobayashi markunet
3
230
聲の形にみるアクセシビリティ
Avatar for tomokusaba tomokusaba
0
150
情シスのための生成AI実践ガイド2026 / Generative AI Practical Guide for Business Technology 2026
Avatar for Akira Maeda glidenote
0
110

Featured

See All Featured
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
659
61k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
88
5k
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
Avatar for Umar Saidu Auna auna
0
76
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
82
6.2k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
77
5.3k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
29
4.2k
Max Prin - Stacking Signals: How International SEO Comes Together (And Falls Apart)
Avatar for Tech SEO Connect techseoconnect
PRO
0
110
B2B Lead Gen: Tactics, Traps & Triumph
Avatar for Sophie Logan marketingsoph
0
70
Evolving SEO for Evolving Search Engines
Avatar for Ryan Jones ryanjones
0
150
Fireside Chat
Avatar for paigeccino paigeccino
42
3.8k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
Avatar for Tech SEO Connect techseoconnect
PRO
0
82
How to Get Subject Matter Experts Bought In and Actively Contributing to SEO & PR Initiatives.
Avatar for Liv Day livdayseo
0
81

Transcript

  1. セキュリティ・キャンプ 全国大会 2021 2021/08/09 : LT大会 : mopi (@mopisec) PLAY

    & PLAY & PLAY with

  2. • mopi (a.k.a. mopisec) • 情報セキュリティ • DFIR • マルウェア解析

    • セキュリティ・キャンプ • 全国大会 2018 修了生 • ネクストキャンプ, GCCなど… • More: https://mopisec.net twitter.com/mopisec

  3. • Software Reverse Engineering Suite (公式サイトより) • Check: https://ghidra-sre.org •

    NSAによって開発されたプログラムのリバースエンジニア リング(静的解析)に特化したツール(群) • CTFのReversing問からマルウェア解析まで全世界で多くの人に 使われている優秀なツール • 2021/06/24に新しいメジャーバージョンであるv10.0が 正式リリースされた

  4. • 新しいデバッガーの登場 • コンパイラ仕様(挙動)をユーザーが定義できる機能 • 実行時型情報からクラス情報を復元する機能 • PDBファイルの適用・管理のUXが改善された • 解析オプションの管理が簡単になった

    • などなど…… • 詳しくはGitHub上の “What’s New” から確認!!!

  5. • 新しいデバッガーの登場 • コンパイラ仕様(挙動)をユーザーが定義できる機能 • 実行時型情報からクラス情報を復元する機能 • PDBファイルの適用・管理のUXが改善された • 解析オプションの管理が簡単になった

    • などなど…… • 詳しくはGitHub上の “What’s New” から確認!!!

  6. • 数多くのユーザーが求めていた機能 • Does GHIDRA have a debugger? https://security.stackexchange.com/questions/204906/ does-ghidra-have-a-debugger

    • Debugger? https://www.reddit.com/r/ghidra/comments/eog9wf/debu gger/

  7. • プログラムを実行しながら解析することができる • 動的解析 • 逆アセンブルしたコード、レジスタ、メモリ、スタックな どを視ながら解析できるため、プログラムがどんな挙動を しているか把握しやすい • gdb,

    OllyDbg, Immunity Debuggerなど • CTFでPwn,Revカテゴリの問題を解いている人にとっては “gdb”や”Radare2”が身近かもしれませんね

  8. • Windows10を導入した仮想マシンにGhidra v10.0 PUBLICを 導入し、適当に探してきたcrackmeを解析してみる https://crackmes.one/crackme/5fe8258333c5d4264e590114

  9. • 挙動は一般的なcrackmeと同じ • ユーザーからの入力を受け付けて、入力が予めプログラム 内で定義されたパスワードと一致すれば終了し、そうでな ければ “wrong pass!!” と出力する

  10. • 適当なProjectを作成し、crackmeの実行ファイルをイン ポートし、Debuggerボタン (虫のアイコン)をクリック Debuggerボタン

  11. None
  12. None

  13. デコンパイル 結果 ブレークポイ ント モジュール 一覧 など 実行ファイルに 関する情報 スタックの状態を表示

    スレッドの一覧を表示 デバッガーの 状態を表示 Symbol Tree など

  14. • Main関数までプログラムを実行して

  15. • パスワードとユーザーからの入力を比較している 場所にブレークポイントを設置する

  16. • ブレークポイントが作動した後、メモリ内を検索 しパスワードらしきデータを探す • これで “password123” こそが本crackmeの答えで あることがわかった

  17. • 前提: 30分程度しか触っていない (重要) • 現時点では他のDebuggerを差し置いて使用する理 由はないと感じた (v10.0 PUBLIC時点, 私の感想)

    • とても不安定 (Ghidraのメニューやボタンが解析中に消える) • インターフェースが無駄に複雑 (デフォルト状態. カスタマイズすれば改善可能)

  18. • ただ、逆アセンブルではなくデコンパイルされた コードを参照しながらデバッグが可能だったのは とても面白かった • IDAも便利だがx64しか Free版はデコンパイル できないので…… • 今後に期待!!!