Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
PLAY & PLAY & PLAY with Ghidra Debugger
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
mopi
August 10, 2021
Technology
330
0
Share
PLAY & PLAY & PLAY with Ghidra Debugger
【セキュリティ・キャンプ全国大会2021オンライン】のLT大会で使用した資料です。
mopi
August 10, 2021
More Decks by mopi
See All by mopi
Discordを乗っ取るマルウェアの解析
mopisec
0
150
Analyzing C# (.NET) Malware
mopisec
1
540
DetExploit - Windows用OSS脆弱性スキャナー (未踏ジュニア最終成果報告会)
mopisec
0
150
Other Decks in Technology
See All in Technology
[Scram Fest Niigata2026]Quality as Code〜AIにQAの思考を再現させる試み〜
masamiyajiri
1
200
AIと乗り切った1,500ページ超のヘルプサイト基盤刷新とさらにその先の話
mugi_uno
2
300
ファインディの事業拡大を支える 拡張可能なデータ基盤へのリアーキテクチャ
hiracky16
0
830
知ってた?JavaScriptの"正しさ"を検証するテストが5万以上もあること(Test262)
riyaamemiya
1
140
拝啓、あの夏の僕へ〜あなたも知っているApp Runnerの世界〜
news_it_enj
0
210
『生成AI時代のクレデンシャルとパーミッション設計 — Claude Code を起点に』の執筆企画
takuros
2
2.1k
生成AIはソフトウェア開発の革命か、ソフトウェア工学の宿題再提出なのか -ソフトウェア品質特性の追加提案-
kyonmm
PRO
2
830
「QA=テスト」「シフトレフト=スクラムイベントの参加者の一員」の呪縛を解く。アジャイルな開発を止めないために、10Xで挑んだ「右側のしわ寄せ」解消記 #scrumniigata
nihonbuson
PRO
3
750
小さいVue.jsを30分で作る
hal_spidernight
0
140
MySQL 9.7がやってきた ~これまでのあらすじと基本情報~ @ 日本MySQLユーザ会会2026年04月 / mysql97-yattekita
sakaik
0
170
AWS Transform CustomでIaCコードを自由自在に変換しよう
duelist2020jp
0
240
Angular Architecture Revisited Modernizing Angular Architectural Patterns
rainerhahnekamp
0
120
Featured
See All Featured
Claude Code のすすめ
schroneko
67
220k
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.8k
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
1
350
Evolving SEO for Evolving Search Engines
ryanjones
0
180
B2B Lead Gen: Tactics, Traps & Triumph
marketingsoph
0
110
Applied NLP in the Age of Generative AI
inesmontani
PRO
4
2.2k
End of SEO as We Know It (SMX Advanced Version)
ipullrank
3
4.2k
Tell your own story through comics
letsgokoyo
1
910
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
380
GitHub's CSS Performance
jonrohan
1032
470k
From Legacy to Launchpad: Building Startup-Ready Communities
dugsong
0
200
How STYLIGHT went responsive
nonsquared
100
6.1k
Transcript
セキュリティ・キャンプ 全国大会 2021 2021/08/09 : LT大会 : mopi (@mopisec) PLAY
& PLAY & PLAY with
• mopi (a.k.a. mopisec) • 情報セキュリティ • DFIR • マルウェア解析
• セキュリティ・キャンプ • 全国大会 2018 修了生 • ネクストキャンプ, GCCなど… • More: https://mopisec.net twitter.com/mopisec
• Software Reverse Engineering Suite (公式サイトより) • Check: https://ghidra-sre.org •
NSAによって開発されたプログラムのリバースエンジニア リング(静的解析)に特化したツール(群) • CTFのReversing問からマルウェア解析まで全世界で多くの人に 使われている優秀なツール • 2021/06/24に新しいメジャーバージョンであるv10.0が 正式リリースされた
• 新しいデバッガーの登場 • コンパイラ仕様(挙動)をユーザーが定義できる機能 • 実行時型情報からクラス情報を復元する機能 • PDBファイルの適用・管理のUXが改善された • 解析オプションの管理が簡単になった
• などなど…… • 詳しくはGitHub上の “What’s New” から確認!!!
• 新しいデバッガーの登場 • コンパイラ仕様(挙動)をユーザーが定義できる機能 • 実行時型情報からクラス情報を復元する機能 • PDBファイルの適用・管理のUXが改善された • 解析オプションの管理が簡単になった
• などなど…… • 詳しくはGitHub上の “What’s New” から確認!!!
• 数多くのユーザーが求めていた機能 • Does GHIDRA have a debugger? https://security.stackexchange.com/questions/204906/ does-ghidra-have-a-debugger
• Debugger? https://www.reddit.com/r/ghidra/comments/eog9wf/debu gger/
• プログラムを実行しながら解析することができる • 動的解析 • 逆アセンブルしたコード、レジスタ、メモリ、スタックな どを視ながら解析できるため、プログラムがどんな挙動を しているか把握しやすい • gdb,
OllyDbg, Immunity Debuggerなど • CTFでPwn,Revカテゴリの問題を解いている人にとっては “gdb”や”Radare2”が身近かもしれませんね
• Windows10を導入した仮想マシンにGhidra v10.0 PUBLICを 導入し、適当に探してきたcrackmeを解析してみる https://crackmes.one/crackme/5fe8258333c5d4264e590114
• 挙動は一般的なcrackmeと同じ • ユーザーからの入力を受け付けて、入力が予めプログラム 内で定義されたパスワードと一致すれば終了し、そうでな ければ “wrong pass!!” と出力する
• 適当なProjectを作成し、crackmeの実行ファイルをイン ポートし、Debuggerボタン (虫のアイコン)をクリック Debuggerボタン
None
None
デコンパイル 結果 ブレークポイ ント モジュール 一覧 など 実行ファイルに 関する情報 スタックの状態を表示
スレッドの一覧を表示 デバッガーの 状態を表示 Symbol Tree など
• Main関数までプログラムを実行して
• パスワードとユーザーからの入力を比較している 場所にブレークポイントを設置する
• ブレークポイントが作動した後、メモリ内を検索 しパスワードらしきデータを探す • これで “password123” こそが本crackmeの答えで あることがわかった
• 前提: 30分程度しか触っていない (重要) • 現時点では他のDebuggerを差し置いて使用する理 由はないと感じた (v10.0 PUBLIC時点, 私の感想)
• とても不安定 (Ghidraのメニューやボタンが解析中に消える) • インターフェースが無駄に複雑 (デフォルト状態. カスタマイズすれば改善可能)
• ただ、逆アセンブルではなくデコンパイルされた コードを参照しながらデバッグが可能だったのは とても面白かった • IDAも便利だがx64しか Free版はデコンパイル できないので…… • 今後に期待!!!
SiteGround - Reliable hosting with speed, security, and support you can count on.
mopisec
masamiyajiri
mugi_uno
hiracky16
riyaamemiya
news_it_enj
takuros
kyonmm
nihonbuson
hal_spidernight
sakaik
duelist2020jp
rainerhahnekamp
schroneko
jnunemaker
katarinadahlin
ryanjones
marketingsoph
inesmontani
ipullrank
letsgokoyo
mfonobong
jonrohan
dugsong
nonsquared
