Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
PLAY & PLAY & PLAY with Ghidra Debugger
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
mopi
August 10, 2021
Technology
330
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
PLAY & PLAY & PLAY with Ghidra Debugger
【セキュリティ・キャンプ全国大会2021オンライン】のLT大会で使用した資料です。
mopi
August 10, 2021
More Decks by mopi
See All by mopi
Discordを乗っ取るマルウェアの解析
mopisec
0
150
Analyzing C# (.NET) Malware
mopisec
1
540
DetExploit - Windows用OSS脆弱性スキャナー (未踏ジュニア最終成果報告会)
mopisec
0
150
Other Decks in Technology
See All in Technology
AIで政治は変わるのか? — 中高生と考えたAI時代の民主主義(東海高校サタデープログラム)
eitarosuda
0
390
背中から、背中へ /paying forward to community
naitosatoshi
0
220
初めてのDatabricks勉強会
taka_aki
2
240
攻撃者がいなくてもAIエージェントはインシデントを起こす
nomizone
0
200
そのハーネス、本当に境界になっていますか? AIエージェント時代の実行環境設計【MEGU-Meet #4】
cscengineer
PRO
0
120
最近評価が難しくなった
maroon8021
0
240
Baseline対応のDOMの型定義を作った
uhyo
3
700
Oracle Exadata Database Service on Cloud@Customer X11M (ExaDB-C@C) サービス概要
oracle4engineer
PRO
2
8.3k
プロダクトだけじゃない、社内プロセスにおける自動化・省力化ノススメ
kakehashi
PRO
1
340
AI時代における最適なQA組織の作り方
ymty
3
390
AIDLC_ヤフーショッピングの取り組み
lycorptech_jp
PRO
0
540
金融の未来を考える / Thinking About the Future of Finance
ks91
PRO
0
150
Featured
See All Featured
What the history of the web can teach us about the future of AI
inesmontani
PRO
1
630
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
2k
YesSQL, Process and Tooling at Scale
rocio
174
15k
Fashionably flexible responsive web design (full day workshop)
malarkey
408
66k
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
1
340
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.7k
We Have a Design System, Now What?
morganepeng
55
8.2k
New Earth Scene 8
popppiees
3
2.4k
Sam Torres - BigQuery for SEOs
techseoconnect
PRO
0
300
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
460
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
Darren the Foodie - Storyboard
khoart
PRO
3
3.4k
Transcript
セキュリティ・キャンプ 全国大会 2021 2021/08/09 : LT大会 : mopi (@mopisec) PLAY
& PLAY & PLAY with
• mopi (a.k.a. mopisec) • 情報セキュリティ • DFIR • マルウェア解析
• セキュリティ・キャンプ • 全国大会 2018 修了生 • ネクストキャンプ, GCCなど… • More: https://mopisec.net twitter.com/mopisec
• Software Reverse Engineering Suite (公式サイトより) • Check: https://ghidra-sre.org •
NSAによって開発されたプログラムのリバースエンジニア リング(静的解析)に特化したツール(群) • CTFのReversing問からマルウェア解析まで全世界で多くの人に 使われている優秀なツール • 2021/06/24に新しいメジャーバージョンであるv10.0が 正式リリースされた
• 新しいデバッガーの登場 • コンパイラ仕様(挙動)をユーザーが定義できる機能 • 実行時型情報からクラス情報を復元する機能 • PDBファイルの適用・管理のUXが改善された • 解析オプションの管理が簡単になった
• などなど…… • 詳しくはGitHub上の “What’s New” から確認!!!
• 新しいデバッガーの登場 • コンパイラ仕様(挙動)をユーザーが定義できる機能 • 実行時型情報からクラス情報を復元する機能 • PDBファイルの適用・管理のUXが改善された • 解析オプションの管理が簡単になった
• などなど…… • 詳しくはGitHub上の “What’s New” から確認!!!
• 数多くのユーザーが求めていた機能 • Does GHIDRA have a debugger? https://security.stackexchange.com/questions/204906/ does-ghidra-have-a-debugger
• Debugger? https://www.reddit.com/r/ghidra/comments/eog9wf/debu gger/
• プログラムを実行しながら解析することができる • 動的解析 • 逆アセンブルしたコード、レジスタ、メモリ、スタックな どを視ながら解析できるため、プログラムがどんな挙動を しているか把握しやすい • gdb,
OllyDbg, Immunity Debuggerなど • CTFでPwn,Revカテゴリの問題を解いている人にとっては “gdb”や”Radare2”が身近かもしれませんね
• Windows10を導入した仮想マシンにGhidra v10.0 PUBLICを 導入し、適当に探してきたcrackmeを解析してみる https://crackmes.one/crackme/5fe8258333c5d4264e590114
• 挙動は一般的なcrackmeと同じ • ユーザーからの入力を受け付けて、入力が予めプログラム 内で定義されたパスワードと一致すれば終了し、そうでな ければ “wrong pass!!” と出力する
• 適当なProjectを作成し、crackmeの実行ファイルをイン ポートし、Debuggerボタン (虫のアイコン)をクリック Debuggerボタン
None
None
デコンパイル 結果 ブレークポイ ント モジュール 一覧 など 実行ファイルに 関する情報 スタックの状態を表示
スレッドの一覧を表示 デバッガーの 状態を表示 Symbol Tree など
• Main関数までプログラムを実行して
• パスワードとユーザーからの入力を比較している 場所にブレークポイントを設置する
• ブレークポイントが作動した後、メモリ内を検索 しパスワードらしきデータを探す • これで “password123” こそが本crackmeの答えで あることがわかった
• 前提: 30分程度しか触っていない (重要) • 現時点では他のDebuggerを差し置いて使用する理 由はないと感じた (v10.0 PUBLIC時点, 私の感想)
• とても不安定 (Ghidraのメニューやボタンが解析中に消える) • インターフェースが無駄に複雑 (デフォルト状態. カスタマイズすれば改善可能)
• ただ、逆アセンブルではなくデコンパイルされた コードを参照しながらデバッグが可能だったのは とても面白かった • IDAも便利だがx64しか Free版はデコンパイル できないので…… • 今後に期待!!!