Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PLAY & PLAY & PLAY with Ghidra Debugger

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for mopi mopi
August 10, 2021
Technology
330
0

PLAY & PLAY & PLAY with Ghidra Debugger

【セキュリティ・キャンプ全国大会2021オンライン】のLT大会で使用した資料です。

Avatar for mopi

mopi

August 10, 2021

More Decks by mopi

See All by mopi
Discordを乗っ取るマルウェアの解析
Avatar for mopi mopisec
0
150
Analyzing C# (.NET) Malware
Avatar for mopi mopisec
1
540
DetExploit - Windows用OSS脆弱性スキャナー (未踏ジュニア最終成果報告会)
Avatar for mopi mopisec
0
150

Other Decks in Technology

See All in Technology
データ基盤構築・運用の現場から 〜 Snowflake Intelligence 導入で変わった、データ活用の未来 〜
Avatar for wonohe wonohe
0
210
インフラが苦手でも大丈夫! 紙芝居 Kubernetes -WWGT 10周年編-
Avatar for Aoi Takahashi aoi1
1
280
TypeScriptはどのようにどこまで推論できるのか ─ とにかく as は禁止で
Avatar for ypresto ypresto
3
690
APIテストとは?
Avatar for 草薙昭彦 nagix
0
120
AI時代に改めて考える、ドメイン駆動設計 - モデリングが「AIへの共通言語」になる
Avatar for Koichiro Matsuoka littlehands
8
2.7k
Kaggle未経験社員をメダリストに育てる「AIドラゴン桜」
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
630
Amazon CloudFrontにおけるAIボットアクセス制御のポイント
Avatar for t.kizawa kizawa2020
4
300
RubyでRuby拡張を書いたらRubyより35倍速になったってどういうこと??
Avatar for kazuho kazuho
3
660
GitHub Copilot CLI の Rubber Duck 機能を使ってコーディングの品質をあげよう #techbaton_findy
Avatar for すてにゃん stefafafan
2
1.2k
freee-mcpを Local→Remote で出してわかった MCP認可実装のリアル
Avatar for てらら terara
3
890
eBPF Can Do It! A 5-Minute Tour of 5 Real-World PHP Issues Solved with eBPF
Avatar for Sohei Iwahori egmc
0
300
自称宇宙最速で不合格となったAIP-C01にリベンジを果たすべくAIで問題集アプリを作ってみた。
Avatar for Yuuki Yamashita yama3133
0
220

Featured

See All Featured
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
790
The Director’s Chair: Orchestrating AI for Truly Effective Learning
Avatar for Mike Taylor tmiket
1
180
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
65
55k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
333
25k
Navigating Team Friction
Avatar for Lara Hogan lara
192
16k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
560
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
Avatar for Mfonobong Umondia mfonobong
2
410
SEO Brein meetup: CTRL+C is not how to scale international SEO
Avatar for Linda Hogenes lindahogenes
1
2.7k
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
432
67k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
135
9.8k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
31
6.7k
Claude Code のすすめ
Avatar for schroneko schroneko
67
220k

Transcript

  1. セキュリティ・キャンプ 全国大会 2021 2021/08/09 : LT大会 : mopi (@mopisec) PLAY

    & PLAY & PLAY with

  2. • mopi (a.k.a. mopisec) • 情報セキュリティ • DFIR • マルウェア解析

    • セキュリティ・キャンプ • 全国大会 2018 修了生 • ネクストキャンプ, GCCなど… • More: https://mopisec.net twitter.com/mopisec

  3. • Software Reverse Engineering Suite (公式サイトより) • Check: https://ghidra-sre.org •

    NSAによって開発されたプログラムのリバースエンジニア リング(静的解析)に特化したツール(群) • CTFのReversing問からマルウェア解析まで全世界で多くの人に 使われている優秀なツール • 2021/06/24に新しいメジャーバージョンであるv10.0が 正式リリースされた

  4. • 新しいデバッガーの登場 • コンパイラ仕様(挙動)をユーザーが定義できる機能 • 実行時型情報からクラス情報を復元する機能 • PDBファイルの適用・管理のUXが改善された • 解析オプションの管理が簡単になった

    • などなど…… • 詳しくはGitHub上の “What’s New” から確認!!!

  5. • 新しいデバッガーの登場 • コンパイラ仕様(挙動)をユーザーが定義できる機能 • 実行時型情報からクラス情報を復元する機能 • PDBファイルの適用・管理のUXが改善された • 解析オプションの管理が簡単になった

    • などなど…… • 詳しくはGitHub上の “What’s New” から確認!!!

  6. • 数多くのユーザーが求めていた機能 • Does GHIDRA have a debugger? https://security.stackexchange.com/questions/204906/ does-ghidra-have-a-debugger

    • Debugger? https://www.reddit.com/r/ghidra/comments/eog9wf/debu gger/

  7. • プログラムを実行しながら解析することができる • 動的解析 • 逆アセンブルしたコード、レジスタ、メモリ、スタックな どを視ながら解析できるため、プログラムがどんな挙動を しているか把握しやすい • gdb,

    OllyDbg, Immunity Debuggerなど • CTFでPwn,Revカテゴリの問題を解いている人にとっては “gdb”や”Radare2”が身近かもしれませんね

  8. • Windows10を導入した仮想マシンにGhidra v10.0 PUBLICを 導入し、適当に探してきたcrackmeを解析してみる https://crackmes.one/crackme/5fe8258333c5d4264e590114

  9. • 挙動は一般的なcrackmeと同じ • ユーザーからの入力を受け付けて、入力が予めプログラム 内で定義されたパスワードと一致すれば終了し、そうでな ければ “wrong pass!!” と出力する

  10. • 適当なProjectを作成し、crackmeの実行ファイルをイン ポートし、Debuggerボタン (虫のアイコン)をクリック Debuggerボタン

  11. None
  12. None

  13. デコンパイル 結果 ブレークポイ ント モジュール 一覧 など 実行ファイルに 関する情報 スタックの状態を表示

    スレッドの一覧を表示 デバッガーの 状態を表示 Symbol Tree など

  14. • Main関数までプログラムを実行して

  15. • パスワードとユーザーからの入力を比較している 場所にブレークポイントを設置する

  16. • ブレークポイントが作動した後、メモリ内を検索 しパスワードらしきデータを探す • これで “password123” こそが本crackmeの答えで あることがわかった

  17. • 前提: 30分程度しか触っていない (重要) • 現時点では他のDebuggerを差し置いて使用する理 由はないと感じた (v10.0 PUBLIC時点, 私の感想)

    • とても不安定 (Ghidraのメニューやボタンが解析中に消える) • インターフェースが無駄に複雑 (デフォルト状態. カスタマイズすれば改善可能)

  18. • ただ、逆アセンブルではなくデコンパイルされた コードを参照しながらデバッグが可能だったのは とても面白かった • IDAも便利だがx64しか Free版はデコンパイル できないので…… • 今後に期待!!!