Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PLAY & PLAY & PLAY with Ghidra Debugger

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for mopi mopi
August 10, 2021
Technology
0
310

PLAY & PLAY & PLAY with Ghidra Debugger

【セキュリティ・キャンプ全国大会2021オンライン】のLT大会で使用した資料です。

Avatar for mopi

mopi

August 10, 2021
Tweet

More Decks by mopi

See All by mopi
Discordを乗っ取るマルウェアの解析
Avatar for mopi mopisec
0
140
Analyzing C# (.NET) Malware
Avatar for mopi mopisec
1
520
DetExploit - Windows用OSS脆弱性スキャナー (未踏ジュニア最終成果報告会)
Avatar for mopi mopisec
0
140

Other Decks in Technology

See All in Technology
Git Training GitHub
Avatar for Yuki Hattori yuhattor
1
270
AI開発の落とし穴 〜馬には乗ってみよAIには添うてみよ〜
Avatar for SansanTech sansantech
PRO
9
3.9k
エンジニアとして長く走るために気づいた2つのこと_大賀愛一郎
Avatar for oga_aiichiro nanaism
1
250
SwiftDataを覗き見る
Avatar for akidon0000 akidon0000
0
310
BPaaSオペレーション・kubell社内 n8n活用による効率化検証事例紹介
Avatar for KentaroFujii kentarofujii
0
290
新規事業における「一部だけどコア」な
AI精度改善の優先順位づけ
Avatar for Higuchi kokoro zerebom
0
230
DatabricksホストモデルでAIコーディング環境を構築する
Avatar for Databricks Japan databricksjapan
0
110
日本語テキストと音楽の対照学習の技術とその応用
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
1
170
2026/01/16_実体験から学ぶ 2025年の失敗と対策_Progate Bar
Avatar for Teba_eleven teba_eleven
1
220
クラウドセキュリティの進化 — AWSの20年を振り返る
Avatar for kei4eva4 kei4eva4
0
160
AI時代にあわせたQA組織戦略
Avatar for Masami Yajiri masamiyajiri
5
2.5k
Data Intelligence on Lakehouse Paradigm
Avatar for Scott Hsieh scotthsieh825
0
200

Featured

See All Featured
How to make the Groovebox
Avatar for あそなす asonas
2
1.9k
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
Avatar for Aleyda Solis aleyda
0
1.8k
[SF Ruby Conf 2025] Rails X
Avatar for Vladimir Dementyev palkan
0
720
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
141
34k
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
408
66k
My Coaching Mixtape
Avatar for mlcsv mlcsv
0
37
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
9
1.1k
Crafting Experiences
Avatar for Bethany Jepchumba bethany
1
37
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
61
52k
How Fast Is Fast Enough? [PerfNow 2025]
Avatar for Tammy Everts tammyeverts
3
430
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
370
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
Avatar for Akihiro Kokubo akihiro_kokubo
PRO
66
36k

Transcript

  1. セキュリティ・キャンプ 全国大会 2021 2021/08/09 : LT大会 : mopi (@mopisec) PLAY

    & PLAY & PLAY with

  2. • mopi (a.k.a. mopisec) • 情報セキュリティ • DFIR • マルウェア解析

    • セキュリティ・キャンプ • 全国大会 2018 修了生 • ネクストキャンプ, GCCなど… • More: https://mopisec.net twitter.com/mopisec

  3. • Software Reverse Engineering Suite (公式サイトより) • Check: https://ghidra-sre.org •

    NSAによって開発されたプログラムのリバースエンジニア リング(静的解析)に特化したツール(群) • CTFのReversing問からマルウェア解析まで全世界で多くの人に 使われている優秀なツール • 2021/06/24に新しいメジャーバージョンであるv10.0が 正式リリースされた

  4. • 新しいデバッガーの登場 • コンパイラ仕様(挙動)をユーザーが定義できる機能 • 実行時型情報からクラス情報を復元する機能 • PDBファイルの適用・管理のUXが改善された • 解析オプションの管理が簡単になった

    • などなど…… • 詳しくはGitHub上の “What’s New” から確認!!!

  5. • 新しいデバッガーの登場 • コンパイラ仕様(挙動)をユーザーが定義できる機能 • 実行時型情報からクラス情報を復元する機能 • PDBファイルの適用・管理のUXが改善された • 解析オプションの管理が簡単になった

    • などなど…… • 詳しくはGitHub上の “What’s New” から確認!!!

  6. • 数多くのユーザーが求めていた機能 • Does GHIDRA have a debugger? https://security.stackexchange.com/questions/204906/ does-ghidra-have-a-debugger

    • Debugger? https://www.reddit.com/r/ghidra/comments/eog9wf/debu gger/

  7. • プログラムを実行しながら解析することができる • 動的解析 • 逆アセンブルしたコード、レジスタ、メモリ、スタックな どを視ながら解析できるため、プログラムがどんな挙動を しているか把握しやすい • gdb,

    OllyDbg, Immunity Debuggerなど • CTFでPwn,Revカテゴリの問題を解いている人にとっては “gdb”や”Radare2”が身近かもしれませんね

  8. • Windows10を導入した仮想マシンにGhidra v10.0 PUBLICを 導入し、適当に探してきたcrackmeを解析してみる https://crackmes.one/crackme/5fe8258333c5d4264e590114

  9. • 挙動は一般的なcrackmeと同じ • ユーザーからの入力を受け付けて、入力が予めプログラム 内で定義されたパスワードと一致すれば終了し、そうでな ければ “wrong pass!!” と出力する

  10. • 適当なProjectを作成し、crackmeの実行ファイルをイン ポートし、Debuggerボタン (虫のアイコン)をクリック Debuggerボタン

  11. None
  12. None

  13. デコンパイル 結果 ブレークポイ ント モジュール 一覧 など 実行ファイルに 関する情報 スタックの状態を表示

    スレッドの一覧を表示 デバッガーの 状態を表示 Symbol Tree など

  14. • Main関数までプログラムを実行して

  15. • パスワードとユーザーからの入力を比較している 場所にブレークポイントを設置する

  16. • ブレークポイントが作動した後、メモリ内を検索 しパスワードらしきデータを探す • これで “password123” こそが本crackmeの答えで あることがわかった

  17. • 前提: 30分程度しか触っていない (重要) • 現時点では他のDebuggerを差し置いて使用する理 由はないと感じた (v10.0 PUBLIC時点, 私の感想)

    • とても不安定 (Ghidraのメニューやボタンが解析中に消える) • インターフェースが無駄に複雑 (デフォルト状態. カスタマイズすれば改善可能)

  18. • ただ、逆アセンブルではなくデコンパイルされた コードを参照しながらデバッグが可能だったのは とても面白かった • IDAも便利だがx64しか Free版はデコンパイル できないので…… • 今後に期待!!!