在逆向工程領(lǐng)域有許多優(yōu)秀的工具可以使用（比如IDA Pro和OllyDbg），但現(xiàn)在我們有一個(gè)新的選擇-Ghidra。Ghidra是由美國國家安全局（美國主要的間諜機(jī)構(gòu)，負(fù)責(zé)開發(fā)Stuxnet惡意軟件和EternalBlue的機(jī)構(gòu)）開發(fā)的，是世界上頂級(jí)的間諜機(jī)構(gòu)之一。

我們第一次知道Ghidra是在2017年的維基解密Vault 7泄密事件中，它在2019年春天作為免費(fèi)和開源（根據(jù)Apache許可證）軟件發(fā)布。它是一個(gè)優(yōu)秀的逆向工程工具，與IDA Pro不同，它是免費(fèi)的!

Ghidra幾乎具有Ida Pro的所有功能，所以如果你從事逆向工程，Ghidra是一個(gè)很好的選擇。

下載Ghidra

你可以從官網(wǎng)下載：https://ghidra-sre.org/，由于它是用`Java`編寫的，所以幾乎所有的平臺(tái)都可以使用，包括`Windows`、`Mac OS和Linux。這里以Windows 10來演示Ghidra`。

由于Ghidra是一個(gè)Java應(yīng)用程序，需要JDK 11以上版本。JDK請(qǐng)從Oracle下載安裝。

啟動(dòng)Ghidra

下載并解壓后，通過雙擊ghidraRun.bat來啟動(dòng)它

同意協(xié)議

然后顯示這個(gè)窗口，開始你的第一個(gè)項(xiàng)目。項(xiàng)目類似于文件夾，可以包含你正在處理的多個(gè)文件。

點(diǎn)擊"File"-->"New Project" 新建項(xiàng)目

這將打開一個(gè)像下面這樣的窗口。Ghidra的一個(gè)特點(diǎn)是能夠在一個(gè)文件或項(xiàng)目上進(jìn)行協(xié)作。在這種情況下，點(diǎn)擊 "Shared Project"。在這里，我們不需要共享，所以選擇 "No-Shared Project"。然后點(diǎn)擊 "Next"。

選擇項(xiàng)目保存位置和輸入項(xiàng)目名字，點(diǎn)"Finish"。

接下來，我們需要導(dǎo)入一個(gè)文件。這是你要分析的軟件或惡意軟件。"File" -->"Import File"。

選擇要導(dǎo)入的二進(jìn)制文件，然后導(dǎo)入

選擇導(dǎo)入后，Ghidra會(huì)提示文件的基本信息，然后點(diǎn)"OK"

然后，Ghidra會(huì)顯示一個(gè)像下面這樣的窗口，顯示有關(guān)該文件的關(guān)鍵信息。

接下來，會(huì)顯示你的項(xiàng)目和導(dǎo)入的文件。你可以雙擊文件或?qū)⑽募系缴厦娴木G色Ghidra龍圖標(biāo)上開始進(jìn)行分析。

然后Ghidra開始工作。它在中心列表窗口顯示程序的匯編代碼，然后詢問你是否要分析該文件。點(diǎn)擊 "Yes"。

Ghidra將分析你的文件，并顯示類似于下面四個(gè)窗口的信息。

窗口1是符號(hào)樹(Symbol Tree)

此窗口允許你查看二進(jìn)制文件的導(dǎo)入、導(dǎo)出、函數(shù)、標(biāo)簽、類和命名空間。

窗口2是列表窗口

這個(gè)窗口顯示的是匯編語言的代碼分解

窗口3 是反編譯器窗口

反編譯器使你能夠看到高級(jí)語言可能會(huì)是什么樣子

窗口4是數(shù)據(jù)類型管理器窗口

數(shù)據(jù)類型管理器允許你查看所有已定義的數(shù)據(jù)類型。

現(xiàn)在，你已經(jīng)準(zhǔn)備好并可以開始分析和逆向這個(gè)文件了!

本節(jié)概括

惡意軟件逆向工程是網(wǎng)絡(luò)安全學(xué)科中最高水平的技能之一，也是收入最高的技能之一。 Ghidra 是一款出色的逆向工程工具，幾乎可以在任何平臺(tái)上運(yùn)行，而且性價(jià)比非常高（免費(fèi)）。在這個(gè)逆向工程系列中，我們將使用這個(gè)來自美國國家安全局的工具對(duì)多個(gè)惡意軟件進(jìn)行逆向工程，從簡到難。

說明

本文由合天網(wǎng)安實(shí)驗(yàn)室編譯，如需轉(zhuǎn)載，請(qǐng)注明來源

原文地址:https://www.hackers-arise.com/post/reverse-engineering-malware-getting-started-with-ghidra-part1

關(guān)于合天網(wǎng)安實(shí)驗(yàn)室

合天網(wǎng)安實(shí)驗(yàn)室（www.hetianlab.com）-國內(nèi)領(lǐng)先的實(shí)操型網(wǎng)絡(luò)安全在線教育平臺(tái): http://www.hetianlab.com）-國內(nèi)領(lǐng)先的實(shí)操型網(wǎng)絡(luò)安全在線教育平臺(tái)

真實(shí)環(huán)境，在線實(shí)操學(xué)網(wǎng)絡(luò)安全 ；

實(shí)驗(yàn)內(nèi)容涵蓋：系統(tǒng)安全，軟件安全，網(wǎng)絡(luò)安全，Web安全，移動(dòng)安全，CTF，取證分析，滲透測試，網(wǎng)安意識(shí)教育等。