ghidra delinker extension

この Ghidra 拡張機能を使用すると、プログラムの一部をオブジェクト ファイルとしてエクスポートできます。これらのオブジェクト ファイルには有効なメタデータ (シンボル、再配置テーブルなど) が含まれているため、さらなる処理のためにツールチェーンによって直接再利用できます。

ユースケースには次のようなものがあります。

• 高度なバイナリ パッチ。この作業を手作業で行う代わりに、リンカーを利用して元の部分と変更された部分の両方を修復します。
• ソフトウェアポート。システムに依存しないコードをプログラムから分離し、残りを置き換えます。
• プログラムまたはオブジェクト ファイルをあるファイル形式から別のファイル形式に変換する。
• プログラムの一部を抽出し、別のコンテキストで再利用することによるライブラリの作成。
• 逆コンパイル プロジェクト。プログラムを複数のオブジェクト ファイルに分割し、これらのテセウスの船スタイルを再実装します。
• …

サポートされている命令セット アーキテクチャとオブジェクト ファイルのマトリックス:

• このリポジトリのクローンを作成します。
• Ghidra インストール ディレクトリを指すようにGHIDRA_INSTALL_DIR環境変数を定義します。
• gradle buildExtension実行します。

Ghidra 拡張機能のアーカイブはdist/ディレクトリ内に作成されます。

• リリース ページから拡張機能をダウンロードするか、ローカルでビルドします。
• File > Install Extensions…を選択して、Ghidra インスタンスに拡張機能をインストールします。
• CodeBrowser ウィンドウ内でFile > Configure選択して、 RelocationTableSynthesizedPluginプラグインを有効にします。

1. リスト ビューでアドレスのセットを選択します。
2. Relocation table synthesizerアナライザーを実行します (ワンショット モードで利用可能)。
3. File > Export Program…を選択して、再配置可能なオブジェクト ファイル エクスポーターを呼び出します。

再構築された再配置は、 Window > Relocation table (synthesized)で表示できます。

• ️再配置テーブル シンセサイザーアナライザーが機能するためには、完全に設定された Ghidra データベース (正しく宣言されたシンボル、データ型、および参照を含む) に依存します。情報が不正確または欠落していると、分析中に再配置が壊れたり未発見になったりする可能性があります。
• ️オブジェクト ファイル エクスポーターは、再配置テーブル シンセサイザーアナライザーの結果に依存して動作します。疑わしい場合は、オブジェクト ファイルをエクスポートする直前にこのアナライザーを実行して、再配置テーブルの内容がプログラムの現在の状態で最新であることを確認してください。

オブジェクト ファイルは 3 つの部分で構成されます。

• 再配置可能なセクションのバイト数。
• シンボルテーブル。
• 再配置テーブル。

リンカーが呼び出され、オブジェクト ファイルの束から実行可能ファイルを生成すると、次の処理が行われます。

• セクションをメモリ内にレイアウトします。
• 仮想アドレス空間内のシンボルのアドレスを計算します。
• シンボルの最終アドレスに基づいて再配置をセクション バイトに適用します。

通常、再配置テーブルはこのプロセスの後に破棄され、デバッグ シンボルが保持されない場合はシンボル テーブルも破棄され、再配置不可能なセクション バイトのみが残ります。ただし、注意深く分析すると、このデータを再作成できるため、プログラムのリンクを効果的に解除してオブジェクト ファイルに戻すことができます。