GhidrOllama

이 스크립트는 Ollama의 API와 상호 작용하여 LLM(대형 언어 모델)과 상호 작용합니다. Ollama API를 활용하여 Ghidra를 떠나지 않고도 다양한 리버스 엔지니어링 작업을 수행합니다. Ollama의 로컬 및 원격 인스턴스를 모두 지원합니다. 이 스크립트는 GptHidra에서 영감을 받았습니다.

이 스크립트는 Ollama가 지원하는 모든 모델을 지원합니다.

Ollama는 최근 HuggingFace에서 GGUF 형식으로 사용 가능한 모든 모델에 대한 지원을 추가했습니다. 예:

 ollama run hf.co/arcee-ai/SuperNova-Medius-GGUF

• 기드라
• 올라마
• Ollama 모델 중 하나

llama3.1:8b Ollama 호환 모델로 자유롭게 교체하세요.

 curl -fsSL https://ollama.com/install.sh | sh
ollama run llama3.1:8b

이제 준비가 끝났습니다. localhost:11434 요청을 처리할 준비가 되었습니다.

참고: 이 스크립트는 원격 인스턴스도 지원하며 첫 번째 구성 중에 IP 주소와 포트를 설정합니다.

1. 현재 디컴파일러 창에 있는 함수를 설명해보세요
2. 현재 기능의 이름을 제안합니다. 이 기능이 활성화된 경우 자동으로 기능 이름이 지정됩니다.
3. 권장 설명으로 현재 함수를 다시 작성합니다.
4. 함수/매개변수/변수 이름을 개선하고 주석을 추가하여 현재 함수를 완전히 다시 작성합니다.
5. 사용자는 기능에 대해 질문할 수 있습니다.
6. 버그 찾기/현재 기능의 잠재적인 취약점 제안(모든 것을 다뤘는지 확인하기 위한 것보다 더 나아가 일부 제안은 컨텍스트가 없기 때문에 멍청합니다)
7. 이 LeafBlowerLeafFunctions.py Ghidra 스크립트의 수정된 버전을 사용하여 제거된 기호가 있는 바이너리에서 strcpy , memcpy , strlen 등과 같은 잠재적인 '리프' 함수 분석을 자동화하고, 활성화된 경우 자동 이름 변경
8. 목록 창에서 현재 선택된 단일 조립 지침을 설명하십시오.
9. 목록 창에서 현재 선택된 여러 조립 지침을 설명합니다.
10. 질문을 위한 일반적인 프롬프트 입력(Google을 사용하지 않고 간단한 작업에 좋음)

다음 구성 옵션을 사용할 수 있으며 처음 실행 시 구성할 수 있습니다.

• 서버 IP : 원격 인스턴스를 사용하는 경우 원격 인스턴스의 IP로 설정하고, 그렇지 않으면 localhost 입력합니다.
• 포트 : 인스턴스가 다른 포트에 있는 경우 여기에서 변경하세요. 기본값은 11434 입니다.
• 구성표 : 인스턴스 구성 방식에 따라 http 또는 https 선택합니다.
• 모델 : 분석에 사용하려는 모델을 선택하세요. 언제든지 변경할 수 있습니다.
• 프로젝트별 프롬프트 : 필요한 경우 모델에 추가 컨텍스트를 제공하는 데 사용됩니다.
• 응답 설명 : 일부 옵션은 응답을 기능 상단에 설명으로 저장합니다. 여기에서 활성화/비활성화할 수 있습니다.
• 자동 이름 바꾸기 : 일부 옵션은 응답을 기반으로 기능 이름을 자동으로 바꾸려고 시도합니다. 여기에서 활성화/비활성화할 수 있습니다.

옵션 11 및 12를 사용하여 처음 실행 후 설정을 조정할 수 있습니다.

1. GhidrOllama.py 스크립트와 ghidrollama_utils 디렉토리를 Ghidra 스크립트 디렉토리(보통 ~/ghidra_scripts )에 배치합니다.
2. LLM에 제공할 함수/명령어를 찾으세요.
3. 스크립트 관리자 창에서 스크립트 실행
4. 스크립트를 처음 실행하는 경우 초기 구성을 완료합니다(나중에 변경될 수 있음).
5. 기능/명령을 분석할 방법을 선택하세요.
6. 출력이 콘솔에 인쇄될 때까지 기다립니다. (대기 시간은 호스트의 모델 및 사양에 따라 다릅니다.)

매번 이 스크립트를 실행하기 위해 스크립트 창에 들어가는 것이 불편한데, 다음과 같은 방법으로 쉽게 스크립트를 실행할 수 있습니다.

• 키 바인딩 : 이 스크립트의 기본 키 바인딩은 Q 입니다.
• 도구 모음 : 도구 모음의 작은 아이콘을 클릭하여 스크립트를 실행할 수 있습니다.

활성화하려면 Ghidra 스크립트 디렉터리 목록에 스크립트를 추가한 후 목록에서 스크립트를 찾으세요. 결과를 마우스 오른쪽 버튼으로 클릭하고 "키 바인딩 할당"을 선택합니다. 키를 묻는 메시지가 나타나면 q 를 입력합니다.

도구 모음 아이콘을 활성화하려면 스크립트 관리자에서 스크립트를 찾은 다음 첫 번째 열( 도구 모음 열)에 있는 확인란을 클릭하세요. 도구 모음에 GhidrOllama 아이콘이 나타납니다.

• 분석은 모델만큼만 우수하다는 점은 주목할 가치가 있습니다. 이 스크립트는 기본적으로 모델과 Ghidra를 연결합니다.
• 모델이 좋을수록(매개변수가 많을수록, 속도가 느려질수록) 분석이 더 포괄적이고 정확해집니다(대부분의 경우!).
• 기능에 대한 빠른 개요를 원한다면 llama3.1:8b 가 빠르고 적절한 분석을 제공합니다.
• 큰 함수와 낮은 컨텍스트 모델에 주의하세요. 함수가 컨텍스트 창에 비해 너무 크면 모델이 완전한 횡설수설로 응답합니다(전혀 응답하는 경우).

다음은 제거된 기호가 있는 Ghidra 디컴파일 창에서 볼 수 있는 strchr() 의 구현입니다.

 char * FUN_801a7490 ( char * param_1 , char param_2 )

{
  char cVar1 ;
  char * pcVar2 ;
  
  cVar1 = * param_1 ;
  if ( cVar1 == '' ) {
    pcVar2 = ( char * ) 0x0 ;
  }
  else {
    pcVar2 = ( char * ) 0x0 ;
    do {
      if ( param_2 == cVar1 ) {
        pcVar2 = param_1 ;
      }
      param_1 = param_1 + 1 ;
      cVar1 = * param_1 ;
    } while ( cVar1 != '' );
  }
  if ( param_2 != '' ) {
    param_1 = pcVar2 ;
  }
  return param_1 ;
}

다음 분석은 llama3.1:8b 모델을 사용하여 수행되었습니다.

흥미로운 기능! 리버스 엔지니어 보조자로서 저는 이 코드의 기능을 분석하고 몇 가지 통찰력을 제공하겠습니다.

함수 서명

char * FUN_801a7490(char *param_1,char param_2)

이 함수는 두 가지 매개변수를 사용합니다.

• param_1 : 문자 배열에 대한 포인터(문자열일 가능성이 높음)
• param_2 : 단일 문자

기능 본체

이 함수는 다음을 수행합니다.

1. param_1 ( cVar1 )의 첫 번째 문자가 인지 확인합니다. 그렇다면 pcVar2 본질적으로 NULL인 (char *)0x0 으로 설정됩니다.
2. cVar1 이 아닌 경우 다음과 같은 루프에 들어갑니다.

• param_2 문자가 param_1 ( cVar1 )의 현재 문자와 일치하는지 확인합니다. 일치하는 경우 pcVar2 param_1 의 주소로 설정됩니다.
• param_1 포인터는 문자열의 다음 문자를 가리키도록 1만큼 증가됩니다.
• 루프는 문자열 끝에 도달할 때까지 계속됩니다(즉, cVar1 은 이 됩니다).

3. param_2 null이 아닌 경우 함수는 pcVar2 에 저장된 주소를 반환합니다.

통찰력

이 코드에 따르면 문자열( param_1 ) 내에서 문자( param_2 )를 검색하는 것으로 보입니다. 해당 문자가 처음으로 나타나는 즉시 검색이 중지됩니다.

if (param_2 != '') { param_1 = pcVar2; } 문은 param_2 문자열에서 발견되면 함수가 문자열 내의 해당 위치에 대한 포인터를 반환함을 나타냅니다. 그렇지 않은 경우에도 유효한 포인터(문자열의 시작 부분을 가리킬 가능성이 높음)를 반환합니다.

GhidrOllama는 함수 이름을 find_char_in_string 으로 변경했습니다.

다음은 해당 동작을 설명하기 위한 추가 설명이 포함된 수정된 함수입니다.

 char * FUN_801a7490 ( char * param_1 , char param_2 )
{
  // Initialize a character variable (cVar1) to hold the first character of param_1.
  char cVar1 ;
  
  // Initialize a pointer variable (pcVar2) to point to null initially.
  char * pcVar2 ;
  
  // Assign the first character of param_1 to cVar1. This will be used as a starting point for searching in the string.
  cVar1 = * param_1 ;
  
  // Check if the input string (param_1) is empty ('').
  if ( cVar1 == '' ) {
    // If it's empty, set pcVar2 to null, effectively indicating that no match was found.
    pcVar2 = ( char * ) 0x0 ;
  }
  else {
    // Initialize pcVar2 to null, which will be updated later if a match is found.
    pcVar2 = ( char * ) 0x0 ;
    
    // Loop through the string param_1 until we reach its end ('').
    do {
      // Check if the current character (cVar1) matches the input parameter (param_2).
      if ( param_2 == cVar1 ) {
        // If it's a match, update pcVar2 to point to the beginning of param_1, effectively returning its address.
        pcVar2 = param_1 ;
      }
      
      // Move on to the next character in param_1 by incrementing its pointer (param_1 = param_1 + 1).
      param_1 = param_1 + 1 ;
      
      // Update cVar1 to hold the new current character.
      cVar1 = * param_1 ;
    } while ( cVar1 != '' );
  }
  
  // Check if a match was found by verifying that param_2 is not null ('').
  if ( param_2 != '' ) {
    // If it's not null, update param_1 to point to the matched string in pcVar2.
    param_1 = pcVar2 ;
  }
  
  // Return the address of the matched string or an empty string if no match was found.
  return param_1 ;
}

이 함수는 문자열(param_1) 내에서 단일 문자(param_2)를 검색하는 것으로 보입니다. 일치하는 문자열의 주소를 반환하거나, 일치하는 항목이 없으면 null을 반환합니다. 입력 문자열이 비어 있으면 즉시 null을 반환합니다.

다음은 더 설명적인 이름과 설명을 포함하여 다시 작성된 함수입니다.

 /**
 * Find the index of a given character in a string.
 *
 * @param str The input string to search in.
 * @param charToFind The character to find in the string.
 *
 * @return A pointer to the found character in the string, or NULL if not found.
 */
char * findCharacterInString ( char * str , char charToFind )
{
    // Initialize variables
    char currentChar ;
    char * foundCharPtr ;

    // Check if the input string is empty
    currentChar = * str ;
    if ( currentChar == '' ) {
        // If the string is empty, return NULL
        foundCharPtr = NULL ;
    } else {
        // Initialize pointer to point to end of string
        foundCharPtr = NULL ;

        // Loop through each character in the string
        do {
            // Check if current character matches the character to find
            if ( charToFind == currentChar ) {
                // If a match is found, update the pointer and break out of loop
                foundCharPtr = str ;
                break ;
            }

            // Move to next character in string
            str ++ ;
            currentChar = * str ;
        } while ( currentChar != '' );
    }

    // Ensure that if charToFind is not empty, we return the pointer to the found character
    if ( charToFind != '' ) {
        str = foundCharPtr ;
    }

    // Return the pointer to the found character, or NULL if not found
    return str ;
}

좀 더 설명적인 함수 이름인 findCharacterInString 사용하고 코드의 각 부분이 수행하는 작업을 설명하는 주석을 추가했습니다. 또한 cVar1 , pcVar2 등 대신 currentChar , foundCharPtr , str 과 같은 더 설명적인 변수 이름을 사용했습니다.

나는 GhidrOllama에게 스택 오버플로가 포함되어 있음을 알고 있는 일부 코드를 제공하여 이를 발견했는지 확인했으며 응답은 다음과 같습니다.

해당 코드 조각에서 보안 취약점을 나타낼 수 있는 흥미로운 영역은 다음과 같습니다.

1. NULL 포인터 역참조 : upnp_device_discovery 함수에는 오프셋 0x2910 에서 iVar2 에 액세스할 때 NULL 포인터 역참조가 발생할 가능성이 있습니다. 이는 DAT_8025d514 3보다 작고 *(int *)(param_1 + 0x2910) NULL을 반환하는 경우 발생할 수 있습니다. 이 문제를 해결하려면 역참조하기 전에 iVar2 가 NULL이 아닌지 확인하는 검사를 추가하세요.

    if ( DAT_8025d514 < 3 && iVar2 != NULL ) {
     iVar2 = * ( int * )( param_1 + 0x2910 );
   }

2. 버퍼 오버플로 : upnp_device_discovery 함수에서 strcpy(auStack_98, iVar2 + 5); . 이는 iVar2 + 5가 auStack_98 배열의 경계를 초과하는 경우 발생할 수 있습니다. 이 문제를 해결하려면 소스 및 대상 버퍼가 대상 문자열에 비해 너무 크지 않은지 확인하는 검사를 추가하세요.

    if ( iVar2 != NULL && iVar2 + 5 <= iVar1 ) {
       strcpy ( auStack_98 , iVar2 + 5 );
   }

3. Use-After-Free : upnp_device_discovery 함수에는 다음 코드 조각에서 iVar1이 해제된 후 iVar1 에 액세스할 때 use-after-free가 가능합니다.

    iVar1 = FUN_801a6bb4 ( iVar2 , s_urn_schemas_wifialliance_org_dev_801eb090 , 0x24 );
   if ( iVar1 == 0 ) {
     iVar2 = iVar2 + 0x24 ;
     iVar1 = FUN_801a7114 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );
   }

   iVar1 FUN_801a7114 에 할당된 줄에서 해제되지만 다음 줄에서는 여전히 인수로 사용되고 있습니다. 이 문제를 해결하려면 FUN_801a7114 의 결과를 iVar1 에 다시 할당하세요.

    iVar1 = FUN_801a7114 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );

4. SQL 주입 : upnp_device_discovery 함수에서 사용자 입력을 인수로 FUN_801a6bb4 호출 시 SQL 주입 가능성이 있습니다. 이 문제를 해결하려면 매개변수화된 쿼리나 준비된 문을 사용하여 SQL 삽입을 방지하세요.

    iVar1 = FUN_801a6bb4 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );

다음은 해당 코드 조각에서 발견할 수 있는 잠재적인 보안 취약점 중 일부입니다.

우리는 그것이 포인트 2에서 스택 오버플로를 발견했다는 것을 볼 수 있습니다. 다른 포인트에서는 완전히 잘못된 동작에 대한 가정을 하는 것 같습니다.

스크립트는 목록 창(프로그래머 매뉴얼 검색 저장)에 지침 설명을 제공할 수도 있습니다. 이에 대한 예는 다음과 같습니다.

 movz v1, a0, v0

응답은 다음과 같습니다.

유쾌한 MIPS 교육!

movz v1, a0, v0 명령은 0 확장 작업으로 정수 이동을 수행하는 로드/저장 명령입니다.

그것을 분석해 봅시다:

• movz : 이는 "0 확장으로 이동"을 나타내는 명령에 대한 니모닉입니다. 부호 비트를 확장하는 동안 레지스터 간에 데이터를 전송하는 데 사용됩니다.
• v1 , a0 및 v0 은 레지스터 이름입니다. MIPS에서 이러한 레지스터에는 다음과 같은 역할이 있습니다.
  • v1 : 대상 레지스터(결과가 저장될 위치)입니다.
  • a0 : 소스 레지스터 1(이동할 값 포함)
  • v0 : 이 경우 소스 레지스터 2는 필요하지 않습니다.

이 명령어의 목적은 a0 의 내용을 v1 에 복사하고 a0 의 부호 비트가 음수인 경우 확장하는 것입니다. 결과는 v1 에 저장됩니다.

"제로 확장"이 무엇을 의미하는지 이해하기 위해 다음 예를 고려해 보겠습니다.

a0 에 -5 값이 포함되어 있다고 가정합니다. 이진 표현에서는 11111011 입니다. 이 값에 대해 0 확장 작업을 수행할 때 기본적으로 선행 0을 추가하여 32비트 정수로 만듭니다. 결과 이진 값은 00000000011111011 입니다.

어셈블리 코드 예제에서:

1. 레지스터에 다음 값이 있다고 가정합니다.

• a0 : -5 (바이너리: 11111011 )
• 이 예에서는 v0 이 사용되지 않습니다. 그런 다음 movz v1, a0, v0 실행한 후 레지스터 v1 에는 -5 값이 포함됩니다.

2. 이제 다음과 같은 상황이 있다고 가정해 보겠습니다.

• a0 : 17 (바이너리: 00010001 )
• 다시 말하지만 v0 사용되지 않습니다.

movz v1, a0, v0 실행한 후에도 v1 레지스터는 원래 이진 값인 17 계속 유지합니다. 이는 이미 양수이고 0 확장이 필요하지 않기 때문입니다.

3. 다음과 같은 예가 하나 더 있습니다.

• a0 : -128 (바이너리: 10000000 )
• 다시 말하지만 v0 사용되지 않습니다.

movz v1, a0, v0 실행한 후 레지스터 v1 -128 값이 포함됩니다.

MIPS에서 movz 명령어는 동일한 크기(32비트 정수)의 레지스터 사이에서만 이동할 수 있다는 점을 기억하세요. 값은 변환이나 승격 없이 직접 전송됩니다.

요약하면 movz v1, a0, v0 한 레지스터( a0 )에서 다른 레지스터( v1 )로 정수 데이터를 복사하는 데 사용되며 필요한 경우 부호 비트를 확장합니다.

나는 모델에게 다음 조립에 대해 설명해달라고 요청했습니다.

  801a7490 00 00 82 80     lb         v0,0x0(a0)
  801a7494 00 2e 05 00     sll        a1,a1,0x18
  801a7498 0b 00 40 10     beq        v0,zero,LAB_801a74c8
  801a749c 03 2e 05 00     _sra       a1,a1,0x18
  801a74a0 21 18 00 00     clear      v1
                        LAB_801a74a4                                    XREF[1]:     801a74b4(j)  
  801a74a4 26 10 a2 00     xor        v0,a1,v0
  801a74a8 0a 18 82 00     movz       v1,a0,v0
  801a74ac 01 00 84 24     addiu      a0,a0,0x1
  801a74b0 00 00 82 80     lb         v0,0x0(a0)
  801a74b4 fb ff 40 14     bne        v0,zero,LAB_801a74a4
  801a74b8 00 00 00 00     _nop
                        LAB_801a74bc                                    XREF[1]:     801a74c8(j)  
  801a74bc 21 10 80 00     move       v0,a0
  801a74c0 08 00 e0 03     jr         ra
  801a74c4 0b 10 65 00     _movn      v0,v1,a1
                        LAB_801a74c8                                    XREF[1]:     801a7498(j)  
  801a74c8 2f 9d 06 08     j          LAB_801a74bc
  801a74cc 21 18 00 00     _clear     v1

응답은 다음과 같습니다.

MIPS 어셈블리 코드 조각!

각 명령의 기능은 다음과 같습니다.

0x801a7490: lb v0,0x0(a0)

• lb "바이트 로드" 명령입니다.
• v0 은 대상 레지스터(즉, 결과가 저장될 위치)입니다.
• 0x0(a0) 은 로드할 바이트의 유효 주소입니다. (a0) 부분은 레지스터 a0 의 값을 즉치값 0x0 에 추가하여 유효 주소를 형성해야 함을 의미합니다.
• 따라서 이 명령어는 메모리 위치 a0 + 0 = a0 에서 레지스터 v0 으로 바이트를 로드합니다.

0x801a7494: sll a1,a1,0x18

• sll "왼쪽으로 논리 이동" 명령입니다.
• a1 은 소스 레지스터(즉, 이동될 값)입니다.
• 즉치값 0x18 이동할 비트 수를 지정합니다. 이 경우에는 24비트이므로(MIPS는 32비트 단어를 사용하므로) 모든 비트가 효과적으로 0으로 설정됩니다.
• 따라서 이 명령어는 레지스터 a1 의 상위 비트를 지웁니다.

0x801a7498: beq v0,제로,0x801a74c8

• beq "같으면 분기" 명령입니다.
• 처음 두 피연산자가 비교됩니다. 만약 그것들이 같다면(즉, 둘 다 0이라면)...
• ...프로그램은 세 번째 피연산자( 0x801a74c8 ) 로 지정된 주소로 분기됩니다.

0x801a749c: _sra a1,a1,0x18

• 이 명령어는 sll 과 유사하지만 "오른쪽 시프트 산술"입니다. 효과는 이전 지침과 동일합니다.

0x801a74a0: v1 지우기

• _clear (밑줄 참고)는 v1 레지스터의 값을 지웁니다.

0x801a74a4: xor v0,a1,v0

• xor "배타적 OR" 명령입니다.
• 처음 두 피연산자가 비교됩니다. 하나의 피연산자에 두 비트 중 하나가 설정되어 있지만 둘 다에는 설정되지 않은 경우...
• ...결과(레지스터 v0 )의 해당 비트가 설정됩니다.

0x801a74a8: movz v1,a0,v0

• _movz (밑줄 참고)는 메모리 위치 a0 + 0 = a0 의 단어를 레지스터 v1 에 로드합니다.

0x801a74ac: a0,a0,0x1 추가

• addiu "부호 없는 즉시 추가" 명령입니다.
• 레지스터 a0 의 값은 1씩 증가합니다.

0x801a74b0: lb v0,0x0(a0)

• 이는 첫 번째 지시와 유사합니다. 메모리 위치 a0 + 0 = a0 에서 레지스터 v0 으로 바이트를 로드합니다.

0x801a74b4: bne v0,제로,0x801a74a4

• bne "같지 않으면 분기" 명령입니다.
• 레지스터 v0 의 값은 0과 비교됩니다. 서로 같지 않으면(즉, v0 0이 아닌 경우)...
• ...프로그램은 0x801a74a4 로 다시 분기됩니다.

0x801a74b8: _nop

• _nop 아무런 효과가 없는 no-op 명령입니다.

0x801a74bc: v0,a0 이동

• move 레지스터 a0 의 값을 레지스터 v0 에 로드합니다.

0x801a74c0: 주니어 ra

• jr "점프 레지스터" 명령입니다.
• 프로그램은 레지스터 ra 에 저장된 주소로 점프합니다. 이는 반환 주소일 가능성이 높으므로 함수가 종료됩니다.

0x801a74c4: _movn v0,v1,a1

• _movn 메모리 위치 a1 + 0 = a1 의 단어를 레지스터 v0 에 로드합니다.

0x801a74c8: j 0x801a74bc

• 이는 첫 번째 beq 명령어의 분기 대상입니다.
• 프로그램은 0x801a74bc 로 분기됩니다.

0x801a74cc: _clear v1

• _clear v1 레지스터의 값을 지웁니다.

코드는 일종의 루프를 구현하여 카운터( a0 )를 증가시키고 해당 값을 기반으로 일부 계산을 수행하는 것으로 보입니다. 더 많은 맥락이 없으면 세부 사항이 불분명합니다.

이 스크립트는 샘플로 제공되며 Ollama API의 특정 사용 사례 또는 변경 사항에 맞게 수정이 필요할 수 있습니다. 업데이트나 변경 사항은 API 설명서를 참조하세요.

이 스크립트는 GptHidra 저장소에서 영감을 받았습니다.

이 스크립트는 Ghidra 스크립트 중 하나를 약간 수정한 버전도 사용합니다.

초기 작업에 대해 이 프로젝트의 기여자들에게 많은 감사를 드립니다.