GhidrOllama

Skrip ini berinteraksi dengan API Ollama untuk berinteraksi dengan Model Bahasa Besar (LLM). Ia menggunakan API Ollama untuk melakukan berbagai tugas rekayasa balik tanpa meninggalkan Ghidra. Ini mendukung instance Ollama lokal dan jarak jauh. Skrip ini terinspirasi oleh GptHidra.

Skrip ini mendukung model apa pun yang didukung Ollama

Ollama juga baru-baru ini menambahkan dukungan untuk model apa pun yang tersedia di HuggingFace dalam format GGUF, misalnya:

 ollama run hf.co/arcee-ai/SuperNova-Medius-GGUF

• Ghidra
• Ollama
• Salah satu model Ollama

Jangan ragu untuk mengganti llama3.1:8b dengan model mana pun yang kompatibel dengan Ollama

 curl -fsSL https://ollama.com/install.sh | sh
ollama run llama3.1:8b

Sekarang Anda siap melakukannya, localhost:11434 harus siap menangani permintaan

Catatan: Skrip ini juga mendukung instance jarak jauh, atur alamat IP dan port pada konfigurasi pertama.

1. Jelaskan fungsi yang saat ini ada di jendela decompiler
2. Menyarankan nama untuk fungsi saat ini, akan secara otomatis memberi nama fungsi tersebut jika ini telah diaktifkan
3. Tulis ulang fungsi saat ini dengan komentar yang direkomendasikan
4. Tulis ulang sepenuhnya fungsi saat ini, coba perbaiki nama fungsi/parameter/variabel dan juga tambahkan komentar
5. Pengguna dapat mengajukan pertanyaan tentang suatu fungsi
6. Temukan bug/sarankan potensi kerentanan dalam fungsi saat ini (lebih hanya untuk memastikan Anda telah mencakup semuanya, beberapa saran bodoh karena tidak memiliki konteks)
7. Gunakan versi modifikasi dari Skrip Ghidra LeafBlowerLeafFunctions.py ini untuk mengotomatiskan analisis fungsi 'leaf' potensial seperti strcpy , memcpy , strlen , dll dalam binari dengan simbol yang dilucuti, ganti nama otomatis jika ini diaktifkan
8. Jelaskan instruksi perakitan tunggal yang saat ini dipilih di jendela daftar
9. Jelaskan beberapa instruksi perakitan yang saat ini dipilih di jendela daftar
10. Entri cepat umum untuk mengajukan pertanyaan (daripada harus ke Google, bagus untuk hal-hal sederhana)

Opsi konfigurasi berikut tersedia, dan dapat dikonfigurasi saat pertama kali dijalankan:

• IP Server : Jika menggunakan instance jarak jauh, setel ke IP instance jarak jauh, jika tidak, masukkan localhost
• Port : Jika instance Anda menggunakan port yang berbeda, ubah di sini - defaultnya adalah 11434
• Skema : Pilih http atau https bergantung pada bagaimana instans Anda dikonfigurasi
• Model : Pilih model yang ingin Anda gunakan untuk analisis, Anda dapat mengubahnya kapan saja
• Prompt khusus proyek : Digunakan untuk memberikan konteks tambahan pada model jika diperlukan
• Komentar Tanggapan : Beberapa opsi menyimpan tanggapan sebagai komentar di bagian atas fungsi, ini dapat diaktifkan/dinonaktifkan di sini
• Penggantian nama otomatis : Beberapa opsi mencoba dan secara otomatis mengganti nama fungsi berdasarkan respons, ini dapat diaktifkan/dinonaktifkan di sini

Opsi 11 & 12 dapat digunakan untuk menyesuaikan pengaturan setelah dijalankan pertama kali.

1. Tempatkan skrip GhidrOllama.py dan direktori ghidrollama_utils di direktori skrip Ghidra Anda (biasanya ~/ghidra_scripts ).
2. Temukan fungsi/instruksi yang ingin Anda masukkan ke LLM
3. Jalankan skrip dari jendela Script Manager
4. Jika ini pertama kalinya menjalankan skrip, selesaikan konfigurasi awal (ini dapat diubah nanti)
5. Pilih bagaimana Anda ingin fungsi/instruksi dianalisis
6. Tunggu hingga output dicetak ke konsol (waktu tunggu bervariasi tergantung model dan spesifikasi host)

Masuk ke jendela skrip untuk menjalankan skrip ini setiap saat tidaklah nyaman, skrip dapat dengan mudah dijalankan dengan cara berikut:

• Pengikatan kunci : Pengikatan kunci default untuk skrip ini adalah Q
• Toolbar : Ikon kecil pada toolbar dapat diklik untuk menjalankan skrip

Untuk mengaktifkannya, setelah Anda menambahkan skrip Anda ke dalam daftar direktori skrip Ghidra, cari skrip tersebut di dalam daftar. Klik kanan hasilnya, dan pilih "Assign key binding". Jika diminta memasukkan kunci, masukkan q .

Untuk mengaktifkan ikon toolbar, cari skrip di pengelola skrip, dan klik kotak centang di kolom pertama (kolom Dalam Toolbar ). Ikon GhidrOllama akan muncul di toolbar.

• Perlu dicatat bahwa analisisnya hanya akan sebaik modelnya, skrip ini pada dasarnya hanya menjembatani model dan Ghidra
• Semakin baik modelnya (lebih banyak parameter, lebih lambat) analisisnya akan semakin komprehensif dan benar (sering kali!)
• Jika Anda ingin gambaran singkat tentang suatu fungsi, llama3.1:8b cepat dan memberikan analisis yang layak
• Hati-hati dengan fungsi besar dan model konteks rendah, jika fungsinya terlalu besar untuk jendela konteks, model akan merespons dengan omong kosong (jika merespons sama sekali)

Di bawah ini adalah implementasi strchr() seperti yang terlihat di jendela dekompilasi Ghidra dengan simbol yang dilucuti:

 char * FUN_801a7490 ( char * param_1 , char param_2 )

{
  char cVar1 ;
  char * pcVar2 ;
  
  cVar1 = * param_1 ;
  if ( cVar1 == '' ) {
    pcVar2 = ( char * ) 0x0 ;
  }
  else {
    pcVar2 = ( char * ) 0x0 ;
    do {
      if ( param_2 == cVar1 ) {
        pcVar2 = param_1 ;
      }
      param_1 = param_1 + 1 ;
      cVar1 = * param_1 ;
    } while ( cVar1 != '' );
  }
  if ( param_2 != '' ) {
    param_1 = pcVar2 ;
  }
  return param_1 ;
}

Analisis berikut dilakukan dengan menggunakan model llama3.1:8b .

Fungsi yang menarik! Sebagai asisten reverse engineer, saya akan menguraikan fungsi kode ini dan memberikan beberapa wawasan.

Tanda Tangan Fungsi

char * FUN_801a7490(char *param_1,char param_2)

Fungsi ini mengambil dua parameter:

• param_1 : penunjuk ke array karakter (kemungkinan berupa string)
• param_2 : satu karakter

Badan Fungsi

Fungsi ini melakukan hal berikut:

1. Ia memeriksa apakah karakter pertama param_1 ( cVar1 ) adalah . Jika ya, maka pcVar2 disetel ke (char *)0x0 , yang pada dasarnya adalah NULL.
2. Jika cVar1 bukan , ia memasuki perulangan di mana:

• Ia memeriksa apakah karakter param_2 cocok dengan karakter saat ini di param_1 ( cVar1 ). Jika cocok, maka pcVar2 disetel ke alamat param_1 .
• Pointer param_1 bertambah satu untuk menunjuk ke karakter berikutnya dalam string.
• Perulangan berlanjut hingga akhir string tercapai (yaitu, cVar1 menjadi ).

3. Jika param_2 bukan null, maka fungsi akan mengembalikan alamat yang disimpan di pcVar2 .

Wawasan

Berdasarkan kode ini, tampaknya sedang mencari karakter ( param_2 ) dalam string ( param_1 ). Pencarian berhenti segera setelah menemukan kemunculan pertama dari karakter tersebut.

if (param_2 != '') { param_1 = pcVar2; } Pernyataan if (param_2 != '') { param_1 = pcVar2; } menyarankan bahwa jika param_2 ditemukan dalam string, fungsi akan mengembalikan pointer ke lokasi tersebut dalam string. Jika tidak, ia masih mengembalikan pointer yang valid (kemungkinan menunjuk ke awal string).

GhidrOllama mengganti nama fungsinya menjadi find_char_in_string

Berikut adalah fungsi yang dimodifikasi dengan komentar tambahan untuk menjelaskan perilakunya:

 char * FUN_801a7490 ( char * param_1 , char param_2 )
{
  // Initialize a character variable (cVar1) to hold the first character of param_1.
  char cVar1 ;
  
  // Initialize a pointer variable (pcVar2) to point to null initially.
  char * pcVar2 ;
  
  // Assign the first character of param_1 to cVar1. This will be used as a starting point for searching in the string.
  cVar1 = * param_1 ;
  
  // Check if the input string (param_1) is empty ('').
  if ( cVar1 == '' ) {
    // If it's empty, set pcVar2 to null, effectively indicating that no match was found.
    pcVar2 = ( char * ) 0x0 ;
  }
  else {
    // Initialize pcVar2 to null, which will be updated later if a match is found.
    pcVar2 = ( char * ) 0x0 ;
    
    // Loop through the string param_1 until we reach its end ('').
    do {
      // Check if the current character (cVar1) matches the input parameter (param_2).
      if ( param_2 == cVar1 ) {
        // If it's a match, update pcVar2 to point to the beginning of param_1, effectively returning its address.
        pcVar2 = param_1 ;
      }
      
      // Move on to the next character in param_1 by incrementing its pointer (param_1 = param_1 + 1).
      param_1 = param_1 + 1 ;
      
      // Update cVar1 to hold the new current character.
      cVar1 = * param_1 ;
    } while ( cVar1 != '' );
  }
  
  // Check if a match was found by verifying that param_2 is not null ('').
  if ( param_2 != '' ) {
    // If it's not null, update param_1 to point to the matched string in pcVar2.
    param_1 = pcVar2 ;
  }
  
  // Return the address of the matched string or an empty string if no match was found.
  return param_1 ;
}

Fungsi ini tampaknya mencari satu karakter (param_2) dalam string (param_1). Ia mengembalikan alamat string yang cocok, atau null jika tidak ditemukan kecocokan. Jika string input kosong, ia akan segera mengembalikan null.

Berikut adalah fungsi yang ditulis ulang dengan nama dan komentar yang lebih deskriptif:

 /**
 * Find the index of a given character in a string.
 *
 * @param str The input string to search in.
 * @param charToFind The character to find in the string.
 *
 * @return A pointer to the found character in the string, or NULL if not found.
 */
char * findCharacterInString ( char * str , char charToFind )
{
    // Initialize variables
    char currentChar ;
    char * foundCharPtr ;

    // Check if the input string is empty
    currentChar = * str ;
    if ( currentChar == '' ) {
        // If the string is empty, return NULL
        foundCharPtr = NULL ;
    } else {
        // Initialize pointer to point to end of string
        foundCharPtr = NULL ;

        // Loop through each character in the string
        do {
            // Check if current character matches the character to find
            if ( charToFind == currentChar ) {
                // If a match is found, update the pointer and break out of loop
                foundCharPtr = str ;
                break ;
            }

            // Move to next character in string
            str ++ ;
            currentChar = * str ;
        } while ( currentChar != '' );
    }

    // Ensure that if charToFind is not empty, we return the pointer to the found character
    if ( charToFind != '' ) {
        str = foundCharPtr ;
    }

    // Return the pointer to the found character, or NULL if not found
    return str ;
}

Perhatikan bahwa saya telah menggunakan nama fungsi yang lebih deskriptif findCharacterInString dan menambahkan komentar untuk menjelaskan apa yang dilakukan setiap bagian kode. Saya juga menggunakan nama variabel yang lebih deskriptif seperti currentChar , foundCharPtr , str daripada cVar1 , pcVar2 , dll.

Saya memberi GhidrOllama beberapa kode yang saya tahu berisi stack overflow untuk melihat apakah ia menemukannya, dan inilah jawabannya:

Area menarik yang mungkin menimbulkan kerentanan keamanan dalam cuplikan kode yang diberikan:

1. Dereferensi Penunjuk NULL : Dalam fungsi upnp_device_discovery , ada kemungkinan dereferensi penunjuk NULL saat mengakses iVar2 pada offset 0x2910 . Ini bisa terjadi jika DAT_8025d514 kurang dari 3, dan *(int *)(param_1 + 0x2910) mengembalikan NULL. Untuk memperbaikinya, tambahkan tanda centang untuk memastikan bahwa iVar2 bukan NULL sebelum melakukan dereferensi.

    if ( DAT_8025d514 < 3 && iVar2 != NULL ) {
     iVar2 = * ( int * )( param_1 + 0x2910 );
   }

2. Buffer Overflow : Dalam fungsi upnp_device_discovery , ada kemungkinan buffer overflow saat memanggil strcpy(auStack_98, iVar2 + 5); . Hal ini dapat terjadi jika iVar2 plus 5 melebihi batas array auStack_98 . Untuk memperbaikinya, tambahkan pemeriksaan untuk memastikan bahwa buffer sumber dan tujuan tidak terlalu besar untuk string target.

    if ( iVar2 != NULL && iVar2 + 5 <= iVar1 ) {
       strcpy ( auStack_98 , iVar2 + 5 );
   }

3. Use-After-Free : Pada fungsi upnp_device_discovery , ada kemungkinan use-after-free saat mengakses iVar1 setelah dibebaskan dalam cuplikan kode berikut:

    iVar1 = FUN_801a6bb4 ( iVar2 , s_urn_schemas_wifialliance_org_dev_801eb090 , 0x24 );
   if ( iVar1 == 0 ) {
     iVar2 = iVar2 + 0x24 ;
     iVar1 = FUN_801a7114 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );
   }

   iVar1 dibebaskan pada baris yang ditugaskan ke FUN_801a7114 , namun kemudian masih digunakan sebagai argumen pada baris berikutnya. Untuk memperbaikinya, tetapkan kembali hasil FUN_801a7114 ke iVar1 .

    iVar1 = FUN_801a7114 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );

4. Injeksi SQL : Dalam fungsi upnp_device_discovery , ada kemungkinan injeksi SQL saat memanggil FUN_801a6bb4 dengan input pengguna sebagai argumen. Untuk memperbaikinya, gunakan kueri berparameter atau pernyataan yang disiapkan untuk mencegah injeksi SQL.

    iVar1 = FUN_801a6bb4 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );

Ini adalah beberapa potensi kerentanan keamanan yang dapat ditemukan dalam cuplikan kode yang diberikan.

Kita bisa melihatnya telah menemukan stack overflow di poin 2, di poin lainnya sepertinya membuat asumsi tentang perilaku yang sepenuhnya salah.

Script juga dapat memberikan deskripsi instruksi di jendela daftar (menyimpan manual pemrogram penjelajahan), berikut adalah contohnya:

 movz v1, a0, v0

Inilah tanggapannya:

Instruksi MIPS yang menyenangkan!

Instruksi movz v1, a0, v0 adalah instruksi muat/penyimpanan yang melakukan perpindahan bilangan bulat dengan operasi perpanjangan nol.

Mari kita uraikan:

• movz : Ini adalah mnemonik untuk instruksi, yang merupakan singkatan dari "move with zero-extend". Ini digunakan untuk mentransfer data antar register sambil memperluas bit tanda.
• v1 , a0 , dan v0 adalah nama register. Di MIPS, register ini mempunyai peran sebagai berikut:
  • v1 : Register tujuan (dimana hasilnya akan disimpan).
  • a0 : Source register 1 (berisi nilai yang akan dipindahkan).
  • v0 : Daftar sumber 2 tidak diperlukan dalam kasus ini.

Tujuan dari instruksi ini adalah untuk menyalin isi a0 ke v1 , dan memperluas bit tanda a0 jika negatif. Hasilnya akan disimpan di v1 .

Untuk memahami apa yang dimaksud dengan "zero-extend", mari kita perhatikan sebuah contoh:

Misalkan a0 berisi nilai -5 . Dalam representasi biner, ini adalah 11111011 . Saat kami melakukan operasi perluasan nol pada nilai ini, pada dasarnya kami menambahkan angka nol di depan untuk menjadikannya bilangan bulat 32-bit. Nilai biner yang dihasilkan adalah 00000000011111011 .

Dalam contoh kode perakitan:

1. Misalkan Anda memiliki nilai-nilai berikut dalam register:

• a0 : -5 (biner: 11111011 )
• v0 tidak digunakan dalam contoh ini. Kemudian, setelah mengeksekusi movz v1, a0, v0 , register v1 akan berisi nilai -5 .

2. Sekarang anggaplah Anda memiliki:

• a0 : 17 (biner: 00010001 )
• Sekali lagi, v0 tidak digunakan

Setelah menjalankan movz v1, a0, v0 , register v1 akan tetap menyimpan nilai biner asli 17 , karena sudah positif dan tidak memerlukan ekstensi nol apa pun.

3. Satu lagi contoh dengan:

• a0 : -128 (biner: 10000000 )
• Sekali lagi, v0 tidak digunakan

Setelah mengeksekusi movz v1, a0, v0 , register v1 akan berisi nilai -128 .

Ingatlah bahwa dalam MIPS, instruksi movz hanya dapat berpindah antar register dengan ukuran yang sama (bilangan bulat 32-bit). Nilai ditransfer secara langsung tanpa konversi atau promosi apa pun.

Singkatnya, movz v1, a0, v0 digunakan untuk menyalin data integer dari satu register ( a0 ) ke register lainnya ( v1 ), memperluas bit tanda jika perlu.

Saya meminta model untuk menjelaskan perakitan berikut:

  801a7490 00 00 82 80     lb         v0,0x0(a0)
  801a7494 00 2e 05 00     sll        a1,a1,0x18
  801a7498 0b 00 40 10     beq        v0,zero,LAB_801a74c8
  801a749c 03 2e 05 00     _sra       a1,a1,0x18
  801a74a0 21 18 00 00     clear      v1
                        LAB_801a74a4                                    XREF[1]:     801a74b4(j)  
  801a74a4 26 10 a2 00     xor        v0,a1,v0
  801a74a8 0a 18 82 00     movz       v1,a0,v0
  801a74ac 01 00 84 24     addiu      a0,a0,0x1
  801a74b0 00 00 82 80     lb         v0,0x0(a0)
  801a74b4 fb ff 40 14     bne        v0,zero,LAB_801a74a4
  801a74b8 00 00 00 00     _nop
                        LAB_801a74bc                                    XREF[1]:     801a74c8(j)  
  801a74bc 21 10 80 00     move       v0,a0
  801a74c0 08 00 e0 03     jr         ra
  801a74c4 0b 10 65 00     _movn      v0,v1,a1
                        LAB_801a74c8                                    XREF[1]:     801a7498(j)  
  801a74c8 2f 9d 06 08     j          LAB_801a74bc
  801a74cc 21 18 00 00     _clear     v1

Inilah tanggapannya:

Cuplikan kode perakitan MIPS!

Berikut rincian fungsi setiap instruksi:

0x801a7490: pon v0,0x0(a0)

• lb adalah instruksi "memuat byte".
• v0 adalah register tujuan (yaitu, dimana hasilnya akan disimpan).
• 0x0(a0) adalah alamat efektif byte yang akan dimuat. Bagian (a0) berarti bahwa nilai dalam register a0 harus ditambahkan ke nilai langsung 0x0 untuk membentuk alamat efektif.
• Jadi, instruksi ini memuat satu byte dari lokasi memori a0 + 0 = a0 ke dalam register v0 .

0x801a7494: masih a1,a1,0x18

• sll adalah instruksi "bergeser ke kiri logis".
• a1 adalah register sumber (yaitu nilai yang akan digeser).
• Nilai langsung 0x18 menentukan berapa banyak bit yang akan digeser. Dalam hal ini, ini adalah 24 bit (karena MIPS menggunakan kata-kata 32-bit), sehingga semua bit secara efektif dihilangkan.
• Jadi, instruksi ini menghapus bit atas register a1 .

0x801a7498: beq v0, nol, 0x801a74c8

• beq adalah instruksi "cabang jika sama".
• Dua operan pertama dibandingkan. Jika keduanya sama (yaitu keduanya nol), maka...
• ...program bercabang ke alamat yang ditentukan oleh operan ketiga: 0x801a74c8 .

0x801a749c: _sra a1,a1,0x18

• Instruksi ini mirip dengan sll , tetapi "aritmatika geser ke kanan". Efeknya sama seperti pada instruksi sebelumnya.

0x801a74a0: hapus v1

• _clear (perhatikan garis bawah) menghapus nilai register v1 .

0x801a74a4: xor v0,a1,v0

• xor adalah instruksi "eksklusif OR".
• Dua operan pertama dibandingkan. Jika salah satu bit diset dalam satu operan tetapi tidak keduanya, maka...
• ...bit yang sesuai dalam hasil (register v0 ) disetel.

0x801a74a8: movz v1,a0,v0

• _movz (perhatikan garis bawah) memuat kata dari lokasi memori a0 + 0 = a0 ke dalam register v1 .

0x801a74ac: tambahan a0,a0,0x1

• addiu adalah instruksi "tambahkan segera unsigned".
• Nilai dalam register a0 bertambah 1.

0x801a74b0: pon v0,0x0(a0)

• Ini mirip dengan instruksi pertama. Ini memuat satu byte dari lokasi memori a0 + 0 = a0 ke dalam register v0 .

0x801a74b4: bne v0,nol,0x801a74a4

• bne adalah instruksi "cabang jika tidak sama".
• Nilai dalam register v0 dibandingkan dengan nol. Jika keduanya tidak sama (yaitu, v0 bukan nol), maka...
• ...program bercabang kembali ke 0x801a74a4 .

0x801a74b8: _tidak

• _nop adalah instruksi larangan pengoperasian, yang tidak berpengaruh.

0x801a74bc: pindahkan v0,a0

• move memuat nilai register a0 ke dalam register v0 .

0x801a74c0: jr ra

• jr adalah instruksi "jump register".
• Program melompat ke alamat yang disimpan di register ra . Kemungkinan besar ini adalah alamat pengirim, jadi fungsinya akan dihentikan.

0x801a74c4: _movn v0,v1,a1

• _movn memuat kata dari lokasi memori a1 + 0 = a1 ke dalam register v0 .

0x801a74c8: j 0x801a74bc

• Ini adalah target cabang dari instruksi beq pertama.
• Program bercabang ke 0x801a74bc .

0x801a74cc: _hapus v1

• _clear menghapus nilai register v1 .

Kode tersebut tampaknya mengimplementasikan semacam perulangan, menambah penghitung ( a0 ) dan melakukan beberapa perhitungan berdasarkan nilainya. Detailnya tidak jelas tanpa konteks lebih lanjut.

Skrip ini disediakan sebagai sampel dan mungkin memerlukan modifikasi agar sesuai dengan kasus penggunaan tertentu atau perubahan pada API Ollama. Silakan merujuk ke dokumentasi API untuk pembaruan atau perubahan apa pun.

Skrip ini terinspirasi oleh repositori GptHidra.

Skrip ini juga menggunakan versi yang sedikit dimodifikasi dari salah satu skrip Ghidra ini.

Terima kasih banyak kepada para kontributor proyek ini atas pekerjaan awal mereka.