PLAY & PLAY & PLAY with Ghidra Debugger

セキュリティ・キャンプ全国大会 2021 2021/08/09 : LT大会 : mopi (@mopisec) PLAY
& PLAY & PLAY with

• mopi (a.k.a. mopisec) • 情報セキュリティ • DFIR • マルウェア解析
• セキュリティ・キャンプ • 全国大会 2018 修了生 • ネクストキャンプ, GCCなど… • More: https://mopisec.net twitter.com/mopisec

• Software Reverse Engineering Suite (公式サイトより) • Check: https://ghidra-sre.org •
NSAによって開発されたプログラムのリバースエンジニアリング（静的解析）に特化したツール(群) • CTFのReversing問からマルウェア解析まで全世界で多くの人に使われている優秀なツール • 2021/06/24に新しいメジャーバージョンであるv10.0が正式リリースされた

• 新しいデバッガーの登場 • コンパイラ仕様(挙動)をユーザーが定義できる機能 • 実行時型情報からクラス情報を復元する機能 • PDBファイルの適用・管理のUXが改善された • 解析オプションの管理が簡単になった
• などなど…… • 詳しくはGitHub上の “What’s New” から確認!!!

• 数多くのユーザーが求めていた機能 • Does GHIDRA have a debugger? https://security.stackexchange.com/questions/204906/ does-ghidra-have-a-debugger
• Debugger? https://www.reddit.com/r/ghidra/comments/eog9wf/debu gger/

• プログラムを実行しながら解析することができる • 動的解析 • 逆アセンブルしたコード、レジスタ、メモリ、スタックなどを視ながら解析できるため、プログラムがどんな挙動をしているか把握しやすい • gdb,
OllyDbg, Immunity Debuggerなど • CTFでPwn,Revカテゴリの問題を解いている人にとっては “gdb”や”Radare2”が身近かもしれませんね

• Windows10を導入した仮想マシンにGhidra v10.0 PUBLICを導入し、適当に探してきたcrackmeを解析してみる https://crackmes.one/crackme/5fe8258333c5d4264e590114

• 挙動は一般的なcrackmeと同じ • ユーザーからの入力を受け付けて、入力が予めプログラム内で定義されたパスワードと一致すれば終了し、そうでなければ “wrong pass!!” と出力する

• 適当なProjectを作成し、crackmeの実行ファイルをインポートし、Debuggerボタン (虫のアイコン)をクリック Debuggerボタン

デコンパイル結果ブレークポイントモジュール一覧など実行ファイルに関する情報スタックの状態を表示
スレッドの一覧を表示デバッガーの状態を表示 Symbol Tree など

• Main関数までプログラムを実行して

• パスワードとユーザーからの入力を比較している場所にブレークポイントを設置する

• ブレークポイントが作動した後、メモリ内を検索しパスワードらしきデータを探す • これで “password123” こそが本crackmeの答えであることがわかった

• 前提: 30分程度しか触っていない (重要) • 現時点では他のDebuggerを差し置いて使用する理由はないと感じた (v10.0 PUBLIC時点, 私の感想)
• とても不安定 (Ghidraのメニューやボタンが解析中に消える) • インターフェースが無駄に複雑 (デフォルト状態. カスタマイズすれば改善可能)

• ただ、逆アセンブルではなくデコンパイルされたコードを参照しながらデバッグが可能だったのはとても面白かった • IDAも便利だがx64しか Free版はデコンパイルできないので…… • 今後に期待！！！

PLAY & PLAY & PLAY with Ghidra Debugger

PLAY & PLAY & PLAY with Ghidra Debugger

mopi

More Decks by mopi

Other Decks in Technology

Featured

Transcript

セキュリティ・キャンプ全国大会 2021 2021/08/09 : LT大会 : mopi (@mopisec) PLAY

• mopi (a.k.a. mopisec) • 情報セキュリティ • DFIR • マルウェア解析

• Software Reverse Engineering Suite (公式サイトより) • Check: https://ghidra-sre.org •

• 新しいデバッガーの登場 • コンパイラ仕様(挙動)をユーザーが定義できる機能 • 実行時型情報からクラス情報を復元する機能 • PDBファイルの適用・管理のUXが改善された • 解析オプションの管理が簡単になった

• 新しいデバッガーの登場 • コンパイラ仕様(挙動)をユーザーが定義できる機能 • 実行時型情報からクラス情報を復元する機能 • PDBファイルの適用・管理のUXが改善された • 解析オプションの管理が簡単になった

• 数多くのユーザーが求めていた機能 • Does GHIDRA have a debugger? https://security.stackexchange.com/questions/204906/ does-ghidra-have-a-debugger

• プログラムを実行しながら解析することができる • 動的解析 • 逆アセンブルしたコード、レジスタ、メモリ、スタックなどを視ながら解析できるため、プログラムがどんな挙動をしているか把握しやすい • gdb,

• Windows10を導入した仮想マシンにGhidra v10.0 PUBLICを導入し、適当に探してきたcrackmeを解析してみる https://crackmes.one/crackme/5fe8258333c5d4264e590114

• 挙動は一般的なcrackmeと同じ • ユーザーからの入力を受け付けて、入力が予めプログラム内で定義されたパスワードと一致すれば終了し、そうでなければ “wrong pass!!” と出力する

• 適当なProjectを作成し、crackmeの実行ファイルをインポートし、Debuggerボタン (虫のアイコン)をクリック Debuggerボタン

デコンパイル結果ブレークポイントモジュール一覧など実行ファイルに関する情報スタックの状態を表示

• Main関数までプログラムを実行して

• パスワードとユーザーからの入力を比較している場所にブレークポイントを設置する

• ブレークポイントが作動した後、メモリ内を検索しパスワードらしきデータを探す • これで “password123” こそが本crackmeの答えであることがわかった

• 前提: 30分程度しか触っていない (重要) • 現時点では他のDebuggerを差し置いて使用する理由はないと感じた (v10.0 PUBLIC時点, 私の感想)

• ただ、逆アセンブルではなくデコンパイルされたコードを参照しながらデバッグが可能だったのはとても面白かった • IDAも便利だがx64しか Free版はデコンパイルできないので…… • 今後に期待！！！