Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PLAY & PLAY & PLAY with Ghidra Debugger

Avatar for mopi mopi
August 10, 2021
Technology
0
290

PLAY & PLAY & PLAY with Ghidra Debugger

【セキュリティ・キャンプ全国大会2021オンライン】のLT大会で使用した資料です。
Avatar for mopi

mopi

August 10, 2021
Tweet

More Decks by mopi

See All by mopi
Discordを乗っ取るマルウェアの解析
Avatar for mopi mopisec
0
120
Analyzing C# (.NET) Malware
Avatar for mopi mopisec
1
470
DetExploit - Windows用OSS脆弱性スキャナー (未踏ジュニア最終成果報告会)
Avatar for mopi mopisec
0
130

Other Decks in Technology

See All in Technology
AndroidアプリエンジニアもMCPを触ろう
Avatar for Shinnosuke Kugimiya kgmyshin
2
570
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
5.4k
Simplify! 10 ways to reduce complexity in software development
Avatar for Uwe Friedrichsen ufried
1
190
テストって楽しい!開発を加速させるテストの魅力 / Testing is Fun! The Fascinating of Testing to Accelerate Development
Avatar for END aiandrox
0
160
PagerDuty×ポストモーテムで築く障害対応文化/Building a culture of incident response with PagerDuty and postmortems
Avatar for AEON aeonpeople
3
530
Асинхронная коммуникация в Go: от понятного к душному. Дима Некрасов, Otello, 2ГИС
Avatar for Lamoda Tech lamodatech
0
1.6k
PostgreSQL Log File Mastery: Optimizing Database Performance Through Advanced Log Analysis
Avatar for Shiv Iyer shiviyer007
PRO
1
150
持続可能なドキュメント運用のリアル: 1年間の成果とこれから
Avatar for akitok akitok_
1
270
クラウド開発環境Cloud Workstationsの紹介
Avatar for Yunosuke Yamada yunosukey
0
220
「経験の点」の位置を意識したキャリア形成 / Career development with an awareness of the “point of experience” position
Avatar for Pauli pauli
4
130
エンジニアリングで組織のアウトカムを最速で最大化する!
Avatar for ham ham0215
1
280
今日からはじめるプラットフォームエンジニアリング
Avatar for Kazuto Kusama jacopen
8
1.9k

Featured

See All Featured
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
336
57k
Fight the Zombie Pattern Library - RWD Summit 2016
Avatar for Marcelo Somers marcelosomers
233
17k
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
28
3.7k
Building an army of robots
Avatar for Kyle Neath kneath
305
45k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
32
5.5k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
23
2.7k
The World Runs on Bad Software
Avatar for Brandon Keepers bkeepers
PRO
68
11k
Designing Dashboards & Data Visualisations in Web Apps
Avatar for Des Traynor destraynor
231
53k
Building Adaptive Systems
Avatar for Chris Keathley keathley
41
2.5k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
31
8.5k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
14
1.4k
Music & Morning Musume
Avatar for Bryan Veloso bryan
47
6.5k

Transcript

  1. セキュリティ・キャンプ 全国大会 2021 2021/08/09 : LT大会 : mopi (@mopisec) PLAY

    & PLAY & PLAY with

  2. • mopi (a.k.a. mopisec) • 情報セキュリティ • DFIR • マルウェア解析

    • セキュリティ・キャンプ • 全国大会 2018 修了生 • ネクストキャンプ, GCCなど… • More: https://mopisec.net twitter.com/mopisec

  3. • Software Reverse Engineering Suite (公式サイトより) • Check: https://ghidra-sre.org •

    NSAによって開発されたプログラムのリバースエンジニア リング(静的解析)に特化したツール(群) • CTFのReversing問からマルウェア解析まで全世界で多くの人に 使われている優秀なツール • 2021/06/24に新しいメジャーバージョンであるv10.0が 正式リリースされた

  4. • 新しいデバッガーの登場 • コンパイラ仕様(挙動)をユーザーが定義できる機能 • 実行時型情報からクラス情報を復元する機能 • PDBファイルの適用・管理のUXが改善された • 解析オプションの管理が簡単になった

    • などなど…… • 詳しくはGitHub上の “What’s New” から確認!!!

  5. • 新しいデバッガーの登場 • コンパイラ仕様(挙動)をユーザーが定義できる機能 • 実行時型情報からクラス情報を復元する機能 • PDBファイルの適用・管理のUXが改善された • 解析オプションの管理が簡単になった

    • などなど…… • 詳しくはGitHub上の “What’s New” から確認!!!

  6. • 数多くのユーザーが求めていた機能 • Does GHIDRA have a debugger? https://security.stackexchange.com/questions/204906/ does-ghidra-have-a-debugger

    • Debugger? https://www.reddit.com/r/ghidra/comments/eog9wf/debu gger/

  7. • プログラムを実行しながら解析することができる • 動的解析 • 逆アセンブルしたコード、レジスタ、メモリ、スタックな どを視ながら解析できるため、プログラムがどんな挙動を しているか把握しやすい • gdb,

    OllyDbg, Immunity Debuggerなど • CTFでPwn,Revカテゴリの問題を解いている人にとっては “gdb”や”Radare2”が身近かもしれませんね

  8. • Windows10を導入した仮想マシンにGhidra v10.0 PUBLICを 導入し、適当に探してきたcrackmeを解析してみる https://crackmes.one/crackme/5fe8258333c5d4264e590114

  9. • 挙動は一般的なcrackmeと同じ • ユーザーからの入力を受け付けて、入力が予めプログラム 内で定義されたパスワードと一致すれば終了し、そうでな ければ “wrong pass!!” と出力する

  10. • 適当なProjectを作成し、crackmeの実行ファイルをイン ポートし、Debuggerボタン (虫のアイコン)をクリック Debuggerボタン

  11. None
  12. None

  13. デコンパイル 結果 ブレークポイ ント モジュール 一覧 など 実行ファイルに 関する情報 スタックの状態を表示

    スレッドの一覧を表示 デバッガーの 状態を表示 Symbol Tree など

  14. • Main関数までプログラムを実行して

  15. • パスワードとユーザーからの入力を比較している 場所にブレークポイントを設置する

  16. • ブレークポイントが作動した後、メモリ内を検索 しパスワードらしきデータを探す • これで “password123” こそが本crackmeの答えで あることがわかった

  17. • 前提: 30分程度しか触っていない (重要) • 現時点では他のDebuggerを差し置いて使用する理 由はないと感じた (v10.0 PUBLIC時点, 私の感想)

    • とても不安定 (Ghidraのメニューやボタンが解析中に消える) • インターフェースが無駄に複雑 (デフォルト状態. カスタマイズすれば改善可能)

  18. • ただ、逆アセンブルではなくデコンパイルされた コードを参照しながらデバッグが可能だったのは とても面白かった • IDAも便利だがx64しか Free版はデコンパイル できないので…… • 今後に期待!!!