ホーム>JSPソースコード>その他のカテゴリー
ダウンロード

Ollama API インタラクション LLM 支援リバース エンジニアリング用の Ghidra スクリプト。

これは何ですか?

このスクリプトは、Ollama の API と対話して、Large Language Model (LLM) と対話します。 Ollama API を利用して、Ghidra を離れることなくさまざまなリバース エンジニアリング タスクを実行します。 Ollama のローカル インスタンスとリモート インスタンスの両方をサポートします。このスクリプトは GptHidra からインスピレーションを得ています。

対応機種

このスクリプトは、Ollama がサポートするあらゆるモデルをサポートします。

Ollama は最近、HuggingFace で利用可能な GGUF 形式のモデルのサポートも追加しました。次に例を示します。 

 ollama run hf.co/arcee-ai/SuperNova-Medius-GGUF

前提条件

  • ギドラ
  • オラマ
  • オラマモデルのいずれか

オラマのセットアップ

llama3.1:8b Ollama 互換モデルのいずれかに置き換えてください。 

 curl -fsSL https://ollama.com/install.sh | sh
ollama run llama3.1:8b

これで準備完了です。localhost localhost:11434リクエストを処理する準備ができているはずです。

注:このスクリプトはリモート インスタンスもサポートしており、最初の構成時に IP アドレスとポートを設定します。

何ができるのでしょうか?

  1. 現在逆コンパイラ ウィンドウにある関数を説明する
  2. 現在の関数の名前を提案します。これが有効になっている場合、関数に自動的に名前が付けられます。
  3. 現在の関数を推奨コメントで書き換える
  4. 現在の関数を完全に書き直し、関数/パラメータ/変数名の改善とコメントの追加を試みます。
  5. ユーザーは機能について質問することができます
  6. 現在の関数のバグを見つけて潜在的な脆弱性を提案します (すべてをカバーしていることを確認するためだけに、コンテキストが含まれていないため、いくつかの提案は無意味です)
  7. この LeafB lowerLeafFunctions.py Ghidra スクリプトの修正バージョンを使用して、シンボルが除去されたバイナリ内のstrcpymemcpystrlenなどの潜在的な「リーフ」関数の分析を自動化します。これが有効になっている場合は、名前が自動変更されます。
  8. リスト ウィンドウで現在選択されている 1 つのアセンブリ命令について説明します。
  9. リスト ウィンドウで現在選択されている複数のアセンブリ命令について説明します。
  10. 質問するための一般的なプロンプト入力 (Google を使用するよりも、簡単な質問に適しています)

構成オプション

次の構成オプションが利用可能で、初回実行時に構成できます。

  • サーバー IP : リモート インスタンスを使用する場合は、リモート インスタンスの IP に設定します。それ以外の場合は、 localhostを入力します。
  • Port : インスタンスが別のポートにある場合は、ここで変更します - デフォルトは11434です
  • スキーム: インスタンスの構成に応じてhttpまたはhttps選択します。
  • モデル: 分析に使用するモデルを選択します。これはいつでも変更できます。
  • プロジェクト固有のプロンプト: 必要な場合にモデルに追加のコンテキストを与えるために使用されます。
  • 応答コメント: 一部のオプションは応答を関数の先頭にコメントとして保存します。これはここで有効/無効にすることができます。
  • 自動名前変更: 一部のオプションは、応答に基づいて関数の名前を自動的に変更しようとします。これはここで有効/無効にすることができます。

オプション 11 および 12 は、初回実行後に設定を調整するために使用できます。

使用法

  1. GhidrOllama.pyスクリプトとghidrollama_utilsディレクトリを Ghidra スクリプト ディレクトリ (通常は~/ghidra_scripts ) に配置します。
  2. LLM に送りたい関数/命令を見つけます。
  3. スクリプトマネージャーウィンドウからスクリプトを実行します。
  4. スクリプトを初めて実行する場合は、初期構成を完了します (これは後で変更できます)。
  5. 機能/命令を解析する方法を選択します
  6. 出力がコンソールに出力されるまで待ちます(待ち時間はホストのモデルや仕様によって異なります)

走る方法

毎回スクリプト ウィンドウに移動してこのスクリプトを実行するのは不便ですが、スクリプトは次の方法で簡単に実行できます。

  • キーバインド: このスクリプトのデフォルトのキーバインドはQです。
  • ツールバー: ツールバー上の小さなアイコンをクリックしてスクリプトを実行できます。

キーバインド

有効にするには、スクリプトを Ghidra スクリプト ディレクトリのリストに追加した後、リスト内でスクリプトを見つけます。結果を右クリックし、「キーバインドの割り当て」を選択します。キーの入力を求められたら、 qと入力します。

スクリプトマネージャー.png

ツールバー

ツールバー アイコンを有効にするには、スクリプト マネージャーでスクリプトを見つけ、最初の列 ( [ツールバー内] 列) のチェック ボックスをクリックします。 GhidrOllama アイコンがツールバーに表示されます。

ツールバー_アイコン.png

注意事項

  • 分析はモデルと同程度にしか機能しないことに注意してください。このスクリプトは基本的にモデルと Ghidra の橋渡しをするだけです。
  • モデルが優れているほど (パラメーターが多く、速度が遅いほど)、分析はより包括的で正確になります (ほとんどの場合!)。
  • 関数の概要を簡単に知りたい場合は、 llama3.1:8bが素早く、適切な分析を提供します。
  • 大きな関数とローコンテキストのモデルには注意してください。関数がコンテキスト ウィンドウに対して大きすぎる場合、モデルは完全に意味不明な応答を返します (応答したとしても)。

機能解析例

以下は、シンボルが除去された Ghidra 逆コンパイル ウィンドウに表示されるstrchr()の実装です。 

 char * FUN_801a7490 ( char * param_1 , char param_2 )

{
  char cVar1 ;
  char * pcVar2 ;
  
  cVar1 = * param_1 ;
  if ( cVar1 == '' ) {
    pcVar2 = ( char * ) 0x0 ;
  }
  else {
    pcVar2 = ( char * ) 0x0 ;
    do {
      if ( param_2 == cVar1 ) {
        pcVar2 = param_1 ;
      }
      param_1 = param_1 + 1 ;
      cVar1 = * param_1 ;
    } while ( cVar1 != '' );
  }
  if ( param_2 != '' ) {
    param_1 = pcVar2 ;
  }
  return param_1 ;
}

次の分析は、 llama3.1:8bモデルを使用して実行されました。

オプション 1 - 機能の概要

面白い機能!リバース エンジニアリング アシスタントとして、このコードの動作を詳しく説明し、いくつかの洞察を提供します。

関数のシグネチャ

char * FUN_801a7490(char *param_1,char param_2)

この関数は 2 つのパラメータを取ります。

  • param_1 : 文字配列へのポインタ (おそらく文字列)
  • param_2 : 単一の文字

関数本体

この関数は次のことを行います。

  1. param_1 ( cVar1 ) の最初の文字がであるかどうかをチェックします。そうである場合、 pcVar2 (char *)0x0に設定され、これは本質的に NULL です。
  2. cVar1でない場合、次のループに入ります。
  • 文字param_2 param_1 ( cVar1 ) の現在の文字と一致するかどうかをチェックします。それらが一致する場合、 pcVar2 param_1のアドレスに設定されます。
  • ポインタparam_1は 1 つ増加して、文字列内の次の文字を指します。
  • ループは文字列の終わりに達するまで続きます (つまり、 cVar1 になります)。
  1. param_2が null でない場合、関数はpcVar2に格納されているアドレスを返します。

洞察

このコードに基づくと、文字列 ( param_1 ) 内の文字 ( param_2 ) を検索しているようです。検索は、その文字が最初に出現するとすぐに停止します。

if (param_2 != '') { param_1 = pcVar2; }ステートメントは、文字列内にparam_2が見つかった場合、関数は文字列内のその場所へのポインタを返すことを示唆しています。そうでない場合でも、有効なポインタ (文字列の先頭を指す可能性があります) を返します。

オプション 2 - 関数の名前付け

GhidrOllama は関数の名前をfind_char_in_stringに変更しました

オプション 3 - コメントの追加

以下は、変更された関数とその動作を説明する追加のコメントです。 

 char * FUN_801a7490 ( char * param_1 , char param_2 )
{
  // Initialize a character variable (cVar1) to hold the first character of param_1.
  char cVar1 ;
  
  // Initialize a pointer variable (pcVar2) to point to null initially.
  char * pcVar2 ;
  
  // Assign the first character of param_1 to cVar1. This will be used as a starting point for searching in the string.
  cVar1 = * param_1 ;
  
  // Check if the input string (param_1) is empty ('').
  if ( cVar1 == '' ) {
    // If it's empty, set pcVar2 to null, effectively indicating that no match was found.
    pcVar2 = ( char * ) 0x0 ;
  }
  else {
    // Initialize pcVar2 to null, which will be updated later if a match is found.
    pcVar2 = ( char * ) 0x0 ;
    
    // Loop through the string param_1 until we reach its end ('').
    do {
      // Check if the current character (cVar1) matches the input parameter (param_2).
      if ( param_2 == cVar1 ) {
        // If it's a match, update pcVar2 to point to the beginning of param_1, effectively returning its address.
        pcVar2 = param_1 ;
      }
      
      // Move on to the next character in param_1 by incrementing its pointer (param_1 = param_1 + 1).
      param_1 = param_1 + 1 ;
      
      // Update cVar1 to hold the new current character.
      cVar1 = * param_1 ;
    } while ( cVar1 != '' );
  }
  
  // Check if a match was found by verifying that param_2 is not null ('').
  if ( param_2 != '' ) {
    // If it's not null, update param_1 to point to the matched string in pcVar2.
    param_1 = pcVar2 ;
  }
  
  // Return the address of the matched string or an empty string if no match was found.
  return param_1 ;
}

この関数は、文字列 (param_1) 内の単一の文字 (param_2) を検索しているようです。一致した文字列のアドレスを返します。一致する文字列が見つからない場合は null を返します。入力文字列が空の場合は、すぐに null を返します。

オプション 4 - 書き換え機能

以下は、よりわかりやすい名前とコメントを付けて書き直された関数です。 

 /**
 * Find the index of a given character in a string.
 *
 * @param str The input string to search in.
 * @param charToFind The character to find in the string.
 *
 * @return A pointer to the found character in the string, or NULL if not found.
 */
char * findCharacterInString ( char * str , char charToFind )
{
    // Initialize variables
    char currentChar ;
    char * foundCharPtr ;

    // Check if the input string is empty
    currentChar = * str ;
    if ( currentChar == '' ) {
        // If the string is empty, return NULL
        foundCharPtr = NULL ;
    } else {
        // Initialize pointer to point to end of string
        foundCharPtr = NULL ;

        // Loop through each character in the string
        do {
            // Check if current character matches the character to find
            if ( charToFind == currentChar ) {
                // If a match is found, update the pointer and break out of loop
                foundCharPtr = str ;
                break ;
            }

            // Move to next character in string
            str ++ ;
            currentChar = * str ;
        } while ( currentChar != '' );
    }

    // Ensure that if charToFind is not empty, we return the pointer to the found character
    if ( charToFind != '' ) {
        str = foundCharPtr ;
    }

    // Return the pointer to the found character, or NULL if not found
    return str ;
}

より説明的な関数名findCharacterInString使用し、コードの各部分が何を行っているかを説明するコメントを追加していることに注意してください。また、 cVar1pcVar2などの代わりに、 currentCharfoundCharPtrstrのような、よりわかりやすい変数名を使用しました。

脆弱性検索の例

スタック オーバーフローが含まれていることがわかっているコードを GhidrOllama に渡して、それが見つかるかどうかを確認したところ、次のような応答が返されました。

指定されたコード スニペット内でセキュリティ上の脆弱性が存在する可能性がある興味深い領域:

  1. NULL ポインター逆参照: 関数upnp_device_discoveryでは、オフセット0x2910iVar2にアクセスするときに NULL ポインター逆参照が発生する可能性があります。これは、 DAT_8025d514 3 未満で、 *(int *)(param_1 + 0x2910)が NULL を返す場合に発生する可能性があります。これを修正するには、iVar2 を逆参照する前に、 iVar2が NULL でないことを確認するチェックを追加します。 

     if ( DAT_8025d514 < 3 && iVar2 != NULL ) {
  iVar2 = * ( int * )( param_1 + 0x2910 );
}

  2. バッファ オーバーフロー: 関数upnp_device_discoveryでは、 strcpy(auStack_98, iVar2 + 5);呼び出すときにバッファ オーバーフローが発生する可能性があります。 。これは、 iVar2プラス 5 がauStack_98配列の境界を超える場合に発生する可能性があります。これを修正するには、ソース バッファと宛先バッファがターゲット文字列に対して大きすぎないことを確認するチェックを追加します。 

     if ( iVar2 != NULL && iVar2 + 5 <= iVar1 ) {
    strcpy ( auStack_98 , iVar2 + 5 );
}

  3. Use-After-Free : 関数upnp_device_discoveryでは、次のコード スニペットで解放された後にiVar1アクセスするときに use-after-free が発生する可能性があります。 

     iVar1 = FUN_801a6bb4 ( iVar2 , s_urn_schemas_wifialliance_org_dev_801eb090 , 0x24 );
if ( iVar1 == 0 ) {
  iVar2 = iVar2 + 0x24 ;
  iVar1 = FUN_801a7114 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );
}

    iVar1FUN_801a7114に割り当てられている行で解放されていますが、次の行では引き続き引数として使用されています。これを修正するには、 FUN_801a7114の結果をiVar1に再割り当てします。 

     iVar1 = FUN_801a7114 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );

  4. SQL インジェクション: 関数upnp_device_discoveryでは、ユーザー入力を引数としてFUN_801a6bb4を呼び出すときに SQL インジェクションが発生する可能性があります。これを修正するには、パラメータ化されたクエリまたはプリペアド ステートメントを使用して SQL インジェクションを防ぎます。 

     iVar1 = FUN_801a6bb4 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );

これらは、指定されたコード スニペットで見つかる可能性のある潜在的なセキュリティ脆弱性の一部です。

ポイント 2 でスタック オーバーフローが検出されたことがわかりますが、他のポイントでは完全に間違った動作についての仮定を行っているようです。

命令例の説明

このスクリプトは、リスト ウィンドウに命令の説明を提供することもできます (プログラマのマニュアルを参照する手間が省けます)。以下にその例を示します。 

 movz v1, a0, v0

応答は次のとおりです。

楽しいMIPS指導!

命令movz v1, a0, v0は、ゼロ拡張演算を伴う整数移動を実行するロード/ストア命令です。

分析してみましょう:

  • movz : これは命令のニーモニックで、「ゼロ拡張で移動」を表します。符号ビットを拡張しながらレジスタ間でデータを転送するために使用されます。
  • v1a0 、およびv0はレジスタ名です。 MIPS では、これらのレジスタには次の役割があります。
    • v1 : 宛先レジスタ (結果が保存される場所)。
    • a0 : ソースレジスタ 1 (移動する値が含まれます)。
    • v0 : この場合、ソースレジスタ 2 は必要ありません。

この命令の目的は、 a0の内容をv1にコピーし、 a0が負の場合はその符号ビットを拡張することです。結果はv1に保存されます。

「ゼロ拡張」の意味を理解するために、例を考えてみましょう。

a0に値-5含まれているとします。バイナリ表現では、これは11111011です。この値に対してゼロ拡張操作を実行するときは、基本的に先頭にゼロを追加して 32 ビット整数にします。結果のバイナリ値は00000000011111011になります。

アセンブリ コードの例では、次のようになります。

  1. レジスタに次の値があるとします。
  • a0 : -5 (バイナリ: 11111011 )
  • この例ではv0使用されません。 次に、 movz v1, a0, v0を実行すると、レジスタv1は値-5が含まれます。
  1. ここで、次のものがあるとします。
  • a0 : 17 (バイナリ: 00010001 )
  • 繰り返しますが、 v0使用されません

movz v1, a0, v0実行した後、レジスタv1元のバイナリ値17保持します。これは、値がすでに正であり、ゼロ拡張を必要としないためです。

  1. もう 1 つの例:
  • a0 : -128 (バイナリ: 10000000 )
  • 繰り返しますが、 v0使用されません

movz v1, a0, v0を実行すると、レジスタv1は値-128が含まれます。

MIPS では、 movz命令は同じサイズ (32 ビット整数) のレジスタ間でのみ移動できることに注意してください。値は、変換やプロモーションを行わずに直接転送されます。

要約すると、 movz v1, a0, v0整数データをあるレジスタ ( a0 ) から別のレジスタ ( v1 ) にコピーし、必要に応じて符号ビットを拡張するために使用されます。

組み立て例の説明

モデルに次の組み立てについて説明してもらいました。 

  801a7490 00 00 82 80     lb         v0,0x0(a0)
  801a7494 00 2e 05 00     sll        a1,a1,0x18
  801a7498 0b 00 40 10     beq        v0,zero,LAB_801a74c8
  801a749c 03 2e 05 00     _sra       a1,a1,0x18
  801a74a0 21 18 00 00     clear      v1
                        LAB_801a74a4                                    XREF[1]:     801a74b4(j)  
  801a74a4 26 10 a2 00     xor        v0,a1,v0
  801a74a8 0a 18 82 00     movz       v1,a0,v0
  801a74ac 01 00 84 24     addiu      a0,a0,0x1
  801a74b0 00 00 82 80     lb         v0,0x0(a0)
  801a74b4 fb ff 40 14     bne        v0,zero,LAB_801a74a4
  801a74b8 00 00 00 00     _nop
                        LAB_801a74bc                                    XREF[1]:     801a74c8(j)  
  801a74bc 21 10 80 00     move       v0,a0
  801a74c0 08 00 e0 03     jr         ra
  801a74c4 0b 10 65 00     _movn      v0,v1,a1
                        LAB_801a74c8                                    XREF[1]:     801a7498(j)  
  801a74c8 2f 9d 06 08     j          LAB_801a74bc
  801a74cc 21 18 00 00     _clear     v1

応答は次のとおりです。

MIPS アセンブリ コード スニペットです。

各命令の動作の内訳は次のとおりです。

0x801a7490: ポンド v0,0x0(a0)

  • lb 「バイトのロード」命令です。
  • v0宛先レジスタ (つまり、結果が格納される場所) です。
  • 0x0(a0)ロードされるバイトの実効アドレスです。 (a0)部分は、レジスタa0の値を即値0x0に加算して実効アドレスを形成する必要があることを意味します。
  • したがって、この命令はメモリ位置a0 + 0 = a0からレジスタv0にバイトをロードします。

0x801a7494: sll a1、a1、0x18

  • sll 「論理左シフト」命令です。
  • a1はソース レジスタ (つまり、シフトされる値) です。
  • 即値0x18は、シフトするビット数を指定します。この場合、それは 24 ビットなので (MIPS は 32 ビット ワードを使用するため)、すべてのビットが実質的にゼロになります。
  • したがって、この命令はレジスタa1の上位ビットをクリアします。

0x801a7498: beq v0,zero,0x801a74c8

  • beq 「等しい場合に分岐」命令です。
  • 最初の 2 つのオペランドが比較されます。それらが等しい場合 (つまり、両方ともゼロ)、...
  • ...プログラムは 3 番目のオペランドで指定されたアドレス0x801a74c8に分岐します。

0x801a749c: _sra a1,a1,0x18

  • この命令はsllに似ていますが、「右シフト演算」です。効果は前の手順と同じです。

0x801a74a0: v1 をクリア

  • _clear (アンダースコアに注意) はレジスタv1の値をクリアします。

0x801a74a4: xor v0、a1、v0

  • xor 「排他的論理和」命令です。
  • 最初の 2 つのオペランドが比較されます。いずれかのビットが 1 つのオペランドに設定されているが、両方には設定されていない場合は...
  • ...結果の対応するビット (レジスタv0 ) が設定されます。

0x801a74a8: movz v1、a0、v0

  • _movz (アンダースコアに注意) は、メモリ位置a0 + 0 = a0からレジスタv1にワードをロードします。

0x801a74ac: a0,a0,0x1 を追加

  • addiu 「署名なし即時追加」命令です。
  • レジスタa0の値が 1 ずつインクリメントされます。

0x801a74b0: ポンド v0,0x0(a0)

  • これは最初の指示と似ています。これは、メモリ位置a0 + 0 = a0からレジスタv0にバイトをロードします。

0x801a74b4: bne v0、ゼロ、0x801a74a4

  • bne 「等しくない場合に分岐」命令です。
  • レジスタv0の値はゼロと比較されます。それらが等しくない場合 (つまり、 v0がゼロ以外の場合)、...
  • ...プログラムは分岐して0x801a74a4に戻ります。

0x801a74b8: _nop

  • _nop no-op 命令であり、何の効果もありません。

0x801a74bc: v0,a0 を移動

  • moveレジスタa0の値をレジスタv0にロードします。

0x801a74c0: JR RA

  • jr 「ジャンプレジスタ」命令です。
  • プログラムはレジスタraに格納されているアドレスにジャンプします。これは戻りアドレスである可能性が高いため、関数は終了します。

0x801a74c4: _movn v0、v1、a1

  • _movnメモリ位置a1 + 0 = a1からレジスタv0にワードをロードします。

0x801a74c8: j 0x801a74bc

  • これは、最初のbeq命令の分岐ターゲットです。
  • プログラムは0x801a74bcに分岐します。

0x801a74cc: _クリア v1

  • _clearレジスタv1の値をクリアします。

このコードは、カウンター ( a0 ) をインクリメントし、その値に基づいて何らかの計算を行う、ある種のループを実装しているようです。詳細は文脈がないと不明です。

免責事項

このスクリプトはサンプルとして提供されており、特定の使用例や Ollama API の変更に合わせて変更が必要になる場合があります。更新または変更については、API ドキュメントを参照してください。

クレジット

このスクリプトは GptHidra リポジトリからインスピレーションを得ています。

このスクリプトは、これらの Ghidra スクリプトの 1 つをわずかに変更したバージョンも使用します。

これらのプロジェクトの初期作業に貢献してくださった方々に多大な感謝を申し上げます。

拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて