GhidrOllama

Этот сценарий взаимодействует с API Ollama для взаимодействия с моделями большого языка (LLM). Он использует API Ollama для выполнения различных задач обратного проектирования, не покидая Ghidra. Он поддерживает как локальные, так и удаленные экземпляры Ollama. Этот сценарий вдохновлен GptHidra.

Этот скрипт поддерживает любую модель, которую поддерживает Оллама.

Оллама также недавно добавил поддержку любой модели, доступной на HuggingFace, в формате GGUF, например:

 ollama run hf.co/arcee-ai/SuperNova-Medius-GGUF

• Гидра
• Оллама
• Любая из моделей Ollama

Не стесняйтесь заменять llama3.1:8b на любую из моделей, совместимых с Ollama.

 curl -fsSL https://ollama.com/install.sh | sh
ollama run llama3.1:8b

Теперь все готово, localhost:11434 должен быть готов обрабатывать запросы.

Примечание. Этот сценарий также поддерживает удаленные экземпляры: задайте IP-адрес и порт во время первой настройки.

1. Объясните функцию, которая сейчас находится в окне декомпилятора.
2. Предложить имя для текущей функции; автоматически назовет функцию, если она включена.
3. Переписать текущую функцию с рекомендуемыми комментариями.
4. Полностью переписать текущую функцию, пытаясь улучшить имена функций/параметров/переменных, а также добавить комментарии.
5. Пользователь может задать вопрос о функции
6. Найдите ошибки/предложите потенциальные уязвимости в текущей функции (больше просто для того, чтобы убедиться, что вы все рассмотрели, некоторые предложения глупы, поскольку не имеют контекста)
7. Используйте модифицированную версию этого скрипта LeafBlowerLeafFunctions.py Ghidra для автоматизации анализа потенциальных «листовых» функций, таких как strcpy , memcpy , strlen и т. д., в двоичных файлах с удаленными символами, автоматическое переименование, если это включено.
8. Объясните единственную инструкцию по сборке, которая в данный момент выбрана в окне листинга.
9. Объясните несколько инструкций по сборке, которые в данный момент выбраны в окне списка.
10. Общий быстрый ввод для того, чтобы задавать вопросы (вместо того, чтобы искать в Google, подходит для простых вещей)

Доступны следующие параметры конфигурации, которые можно настроить при первом запуске:

• IP-адрес сервера : при использовании удаленного экземпляра установите IP-адрес удаленного экземпляра, в противном случае введите localhost
• Порт : если ваш экземпляр использует другой порт, измените его здесь — по умолчанию — 11434
• Схема : выберите http или https в зависимости от того, как настроен ваш экземпляр.
• Модель : выберите модель, которую вы хотите использовать для анализа. Вы можете изменить ее в любой момент.
• Подсказка для конкретного проекта : используется для предоставления дополнительного контекста модели, если это необходимо.
• Комментарии к ответам : некоторые опции сохраняют ответы в виде комментариев вверху функции, это можно включить/отключить здесь.
• Автоматическое переименование : некоторые опции пытаются автоматически переименовывать функции на основе ответов, это можно включить/отключить здесь.

Опции 11 и 12 можно использовать для настройки параметров после первого запуска.

1. Поместите скрипт GhidrOllama.py и каталог ghidrollama_utils в каталог скриптов Ghidra (обычно ~/ghidra_scripts ).
2. Найдите функцию/инструкцию, которую вы хотите передать в LLM.
3. Запустите сценарий из окна диспетчера сценариев.
4. Если вы запускаете скрипт впервые, завершите первоначальную настройку (позже это можно будет изменить).
5. Выберите, какую функцию/инструкцию вы хотите проанализировать.
6. Подождите, пока выходные данные не будут выведены на консоль (время ожидания зависит от модели и характеристик хоста).

Заходить в окно скрипта для запуска этого скрипта каждый раз неудобно, скрипт легко можно запустить следующими способами:

• Привязка клавиш : привязка клавиш по умолчанию для этого сценария — Q.
• Панель инструментов : можно щелкнуть небольшой значок на панели инструментов, чтобы запустить скрипт.

Для включения после добавления вашего сценария в список каталогов сценариев Ghidra найдите сценарий в списке. Щелкните правой кнопкой мыши результат и выберите «Назначить привязку клавиш». Если будет запрошен ключ, введите q .

Чтобы включить значок на панели инструментов, найдите сценарий в диспетчере сценариев и установите флажок в первом столбце (столбец «На панели инструментов »). На панели инструментов должен появиться значок GhidrOllama.

• Стоит отметить, что анализ будет настолько хорош, насколько хороша модель, этот скрипт по сути просто соединяет модели и Ghidra.
• Чем лучше модель (больше параметров, медленнее), тем более полным и правильным будет анализ (в большинстве случаев!)
• Если вам нужен быстрый обзор функции, llama3.1:8b работает быстро и дает достойный анализ.
• Будьте осторожны с большими функциями и моделями с низким контекстом: если функция слишком велика для контекстного окна, модель ответит полной тарабарщиной (если вообще ответит).

Ниже приведена реализация strchr() в окне декомпиляции Ghidra с удаленными символами:

 char * FUN_801a7490 ( char * param_1 , char param_2 )

{
  char cVar1 ;
  char * pcVar2 ;
  
  cVar1 = * param_1 ;
  if ( cVar1 == '' ) {
    pcVar2 = ( char * ) 0x0 ;
  }
  else {
    pcVar2 = ( char * ) 0x0 ;
    do {
      if ( param_2 == cVar1 ) {
        pcVar2 = param_1 ;
      }
      param_1 = param_1 + 1 ;
      cVar1 = * param_1 ;
    } while ( cVar1 != '' );
  }
  if ( param_2 != '' ) {
    param_1 = pcVar2 ;
  }
  return param_1 ;
}

Следующий анализ был выполнен с использованием модели llama3.1:8b .

Интересная функция! Как помощник реверс-инженера, я расскажу, что делает этот код, и поделюсь некоторыми соображениями.

Сигнатура функции

char * FUN_801a7490(char *param_1,char param_2)

Функция принимает два параметра:

• param_1 : указатель на массив символов (вероятно, строка)
• param_2 : один символ

Тело функции

Функция делает следующее:

1. Он проверяет, равен ли первый символ param_1 ( cVar1 ) . Если это так, то для pcVar2 устанавливается значение (char *)0x0 , что по существу равно NULL.
2. Если cVar1 не , он входит в цикл, где:

• Он проверяет, соответствует ли символ param_2 текущему символу в param_1 ( cVar1 ). Если они совпадают, то pcVar2 устанавливается по адресу param_1 .
• Указатель param_1 увеличивается на единицу, чтобы указать на следующий символ в строке.
• Цикл продолжается до тех пор, пока не будет достигнут конец строки (т. е. cVar1 станет ).

3. Если param_2 не равен нулю, функция возвращает адрес, хранящийся в pcVar2 .

Информация

Судя по этому коду, он ищет символ ( param_2 ) внутри строки ( param_1 ). Поиск прекращается, как только обнаруживается первое появление этого символа.

if (param_2 != '') { param_1 = pcVar2; } предполагает, что если в строке найден param_2 , функция возвращает указатель на это место в строке. Если нет, он все равно возвращает действительный указатель (вероятно, указывающий на начало строки).

ГидрОллама переименовал функцию в find_char_in_string

Вот модифицированная функция с дополнительными комментариями, поясняющими ее поведение:

 char * FUN_801a7490 ( char * param_1 , char param_2 )
{
  // Initialize a character variable (cVar1) to hold the first character of param_1.
  char cVar1 ;
  
  // Initialize a pointer variable (pcVar2) to point to null initially.
  char * pcVar2 ;
  
  // Assign the first character of param_1 to cVar1. This will be used as a starting point for searching in the string.
  cVar1 = * param_1 ;
  
  // Check if the input string (param_1) is empty ('').
  if ( cVar1 == '' ) {
    // If it's empty, set pcVar2 to null, effectively indicating that no match was found.
    pcVar2 = ( char * ) 0x0 ;
  }
  else {
    // Initialize pcVar2 to null, which will be updated later if a match is found.
    pcVar2 = ( char * ) 0x0 ;
    
    // Loop through the string param_1 until we reach its end ('').
    do {
      // Check if the current character (cVar1) matches the input parameter (param_2).
      if ( param_2 == cVar1 ) {
        // If it's a match, update pcVar2 to point to the beginning of param_1, effectively returning its address.
        pcVar2 = param_1 ;
      }
      
      // Move on to the next character in param_1 by incrementing its pointer (param_1 = param_1 + 1).
      param_1 = param_1 + 1 ;
      
      // Update cVar1 to hold the new current character.
      cVar1 = * param_1 ;
    } while ( cVar1 != '' );
  }
  
  // Check if a match was found by verifying that param_2 is not null ('').
  if ( param_2 != '' ) {
    // If it's not null, update param_1 to point to the matched string in pcVar2.
    param_1 = pcVar2 ;
  }
  
  // Return the address of the matched string or an empty string if no match was found.
  return param_1 ;
}

Похоже, эта функция ищет один символ (param_2) в строке (param_1). Он возвращает адрес совпавшей строки или ноль, если совпадений не найдено. Если входная строка пуста, она немедленно возвращает значение null.

Вот переписанная функция с более описательными именами и комментариями:

 /**
 * Find the index of a given character in a string.
 *
 * @param str The input string to search in.
 * @param charToFind The character to find in the string.
 *
 * @return A pointer to the found character in the string, or NULL if not found.
 */
char * findCharacterInString ( char * str , char charToFind )
{
    // Initialize variables
    char currentChar ;
    char * foundCharPtr ;

    // Check if the input string is empty
    currentChar = * str ;
    if ( currentChar == '' ) {
        // If the string is empty, return NULL
        foundCharPtr = NULL ;
    } else {
        // Initialize pointer to point to end of string
        foundCharPtr = NULL ;

        // Loop through each character in the string
        do {
            // Check if current character matches the character to find
            if ( charToFind == currentChar ) {
                // If a match is found, update the pointer and break out of loop
                foundCharPtr = str ;
                break ;
            }

            // Move to next character in string
            str ++ ;
            currentChar = * str ;
        } while ( currentChar != '' );
    }

    // Ensure that if charToFind is not empty, we return the pointer to the found character
    if ( charToFind != '' ) {
        str = foundCharPtr ;
    }

    // Return the pointer to the found character, or NULL if not found
    return str ;
}

Обратите внимание, что я использовал более описательное имя функции findCharacterInString и добавил комментарии, объясняющие, что делает каждая часть кода. Я также использовал более описательные имена переменных, такие как currentChar , foundCharPtr , str вместо cVar1 , pcVar2 и т. д.

Я дал GhidrOllama некоторый код, который, как я знаю, содержит переполнение стека, чтобы проверить, обнаружит ли он это, и вот ответ:

Интересные области, которые могут представлять уязвимости безопасности в данном фрагменте кода:

1. Разыменование NULL-указателя : В функции upnp_device_discovery существует возможность разыменования NULL-указателя при доступе iVar2 по смещению 0x2910 . Это может произойти, если DAT_8025d514 меньше 3, а *(int *)(param_1 + 0x2910) возвращает NULL. Чтобы исправить это, добавьте проверку, чтобы убедиться, что iVar2 не равен NULL, прежде чем разыменовывать ее.

    if ( DAT_8025d514 < 3 && iVar2 != NULL ) {
     iVar2 = * ( int * )( param_1 + 0x2910 );
   }

2. Buffer Overflow : В функции upnp_device_discovery существует возможность переполнения буфера при вызове strcpy(auStack_98, iVar2 + 5); . Это может произойти, если iVar2 плюс 5 выходит за пределы массива auStack_98 . Чтобы это исправить, добавьте проверки, чтобы убедиться, что буферы источника и назначения не слишком велики для целевой строки.

    if ( iVar2 != NULL && iVar2 + 5 <= iVar1 ) {
       strcpy ( auStack_98 , iVar2 + 5 );
   }

3. Use-After-Free : в функции upnp_device_discovery существует возможность использования-after-free при доступе к iVar1 после его освобождения в следующем фрагменте кода:

    iVar1 = FUN_801a6bb4 ( iVar2 , s_urn_schemas_wifialliance_org_dev_801eb090 , 0x24 );
   if ( iVar1 == 0 ) {
     iVar2 = iVar2 + 0x24 ;
     iVar1 = FUN_801a7114 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );
   }

   iVar1 освобождается в строке, где ему присвоено значение FUN_801a7114 , но затем он все еще используется в качестве аргумента в следующей строке. Чтобы это исправить, переназначьте результат FUN_801a7114 обратно на iVar1 .

    iVar1 = FUN_801a7114 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );

4. SQL-инъекция : в функции upnp_device_discovery существует возможность SQL-инъекции при вызове FUN_801a6bb4 с пользовательским вводом в качестве аргумента. Чтобы исправить это, используйте параметризованные запросы или подготовленные инструкции, чтобы предотвратить внедрение SQL.

    iVar1 = FUN_801a6bb4 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );

Это некоторые из потенциальных уязвимостей безопасности, которые можно найти в данном фрагменте кода.

Мы видим, что он обнаружил переполнение стека в точке 2, в других точках он, похоже, делает совершенно неверные предположения о поведении.

Скрипт также может отображать описания инструкций в окне листинга (сохраняет просмотр руководств программистов), вот пример:

 movz v1, a0, v0

Вот ответ:

Восхитительная инструкция MIPS!

Инструкция movz v1, a0, v0 — это инструкция загрузки/сохранения, которая выполняет целочисленное перемещение с операцией расширения до нуля.

Давайте разберем это:

• movz : это мнемоника инструкции, которая означает «перемещение с нулевым расширением». Он используется для передачи данных между регистрами при расширении знаковых битов.
• v1 , a0 и v0 — имена регистров. В MIPS эти регистры имеют следующие роли:
  • v1 : Регистр назначения (где будет храниться результат).
  • a0 : Исходный регистр 1 (содержит значение, которое необходимо переместить).
  • v0 : Регистр источника 2 в этом случае не требуется.

Цель этой инструкции — скопировать содержимое a0 в v1 и расширить знаковый бит a0 если он отрицательный. Результат будет сохранен в v1 .

Чтобы понять, что означает «нулевое расширение», давайте рассмотрим пример:

Предположим, a0 содержит значение -5 . В двоичном представлении это 11111011 . Когда мы выполняем операцию расширения нуля над этим значением, мы по существу добавляем ведущие нули, чтобы сделать его 32-битным целым числом. Результирующее двоичное значение будет 00000000011111011 .

В примерах ассемблерного кода:

1. Предположим, у вас есть следующие значения в регистрах:

• a0 : -5 (двоичный: 11111011 )
• v0 в этом примере не используется. Тогда после выполнения movz v1, a0, v0 регистр v1 будет содержать значение -5 .

2. Теперь предположим, что у вас есть:

• a0 : 17 (двоичный: 00010001 )
• Опять же, v0 не используется

После запуска movz v1, a0, v0 регистр v1 по-прежнему будет содержать исходное двоичное значение 17 , поскольку оно уже положительное и не требует никакого нулевого расширения.

3. Еще один пример с:

• a0 : -128 (двоичный: 10000000 )
• Опять же, v0 не используется

После выполнения movz v1, a0, v0 регистр v1 будет содержать значение -128 .

Помните, что в MIPS инструкция movz может перемещаться только между регистрами одинакового размера (32-битные целые числа). Значения передаются напрямую, без какого-либо преобразования или продвижения.

Таким образом, movz v1, a0, v0 используется для копирования целочисленных данных из одного регистра ( a0 ) в другой ( v1 ), при необходимости расширяя знаковые биты.

Я попросил модель объяснить следующую сборку:

  801a7490 00 00 82 80     lb         v0,0x0(a0)
  801a7494 00 2e 05 00     sll        a1,a1,0x18
  801a7498 0b 00 40 10     beq        v0,zero,LAB_801a74c8
  801a749c 03 2e 05 00     _sra       a1,a1,0x18
  801a74a0 21 18 00 00     clear      v1
                        LAB_801a74a4                                    XREF[1]:     801a74b4(j)  
  801a74a4 26 10 a2 00     xor        v0,a1,v0
  801a74a8 0a 18 82 00     movz       v1,a0,v0
  801a74ac 01 00 84 24     addiu      a0,a0,0x1
  801a74b0 00 00 82 80     lb         v0,0x0(a0)
  801a74b4 fb ff 40 14     bne        v0,zero,LAB_801a74a4
  801a74b8 00 00 00 00     _nop
                        LAB_801a74bc                                    XREF[1]:     801a74c8(j)  
  801a74bc 21 10 80 00     move       v0,a0
  801a74c0 08 00 e0 03     jr         ra
  801a74c4 0b 10 65 00     _movn      v0,v1,a1
                        LAB_801a74c8                                    XREF[1]:     801a7498(j)  
  801a74c8 2f 9d 06 08     j          LAB_801a74bc
  801a74cc 21 18 00 00     _clear     v1

Вот ответ:

Фрагмент ассемблерного кода MIPS!

Вот разбивка того, что делает каждая инструкция:

0x801a7490: фунт v0,0x0(a0)

• lb — инструкция «загрузить байт».
• v0 — регистр назначения (то есть, где будет храниться результат).
• 0x0(a0) — эффективный адрес загружаемого байта. Часть (a0) означает, что значение в регистре a0 должно быть добавлено к непосредственному значению 0x0 чтобы сформировать эффективный адрес.
• Итак, эта инструкция загружает байт из ячейки памяти a0 + 0 = a0 в регистр v0 .

0x801a7494: sll a1,a1,0x18

• sll — это инструкция «логического сдвига влево».
• a1 — исходный регистр (т. е. значение, которое необходимо сдвинуть).
• Непосредственное значение 0x18 указывает, на сколько бит нужно сдвинуть. В данном случае это 24 бита (поскольку MIPS использует 32-битные слова), поэтому все биты фактически обнуляются.
• Итак, эта инструкция очищает старшие биты регистра a1 .

0x801a7498: beq v0, ноль, 0x801a74c8

• beq — это инструкция «перейти, если равно».
• Сравниваются первые два операнда. Если они равны (то есть оба равны нулю), то...
• ...программа переходит по адресу, указанному третьим операндом: 0x801a74c8 .

0x801a749c: _sra a1,a1,0x18

• Эта инструкция похожа на sll , но это «арифметический сдвиг вправо». Эффект тот же, что и в предыдущей инструкции.

0x801a74a0: очистить v1

• _clear (обратите внимание на подчеркивание) очищает значение регистра v1 .

0x801a74a4: xor v0,a1,v0

• xor — это инструкция «исключающее ИЛИ».
• Сравниваются первые два операнда. Если любой бит установлен в одном операнде, но не в обоих, то...
• ... соответствующий бит в результате (регистр v0 ) устанавливается.

0x801a74a8: мовз v1,a0,v0

• _movz (обратите внимание на подчеркивание) загружает слово из ячейки памяти a0 + 0 = a0 в регистр v1 .

0x801a74ac: добавить a0,a0,0x1

• addiu — это инструкция «немедленного добавления беззнака».
• Значение в регистре a0 увеличивается на 1.

0x801a74b0: фунт v0,0x0(a0)

• Это похоже на первую инструкцию. Он загружает байт из ячейки памяти a0 + 0 = a0 в регистр v0 .

0x801a74b4: bne v0, ноль, 0x801a74a4

• bne — это инструкция «перейти, если не равно».
• Значение в регистре v0 сравнивается с нулем. Если они не равны (т. е. v0 не равно нулю), то...
• ... программа возвращается к адресу 0x801a74a4 .

0x801a74b8: _ноп

• _nop — это недействующая инструкция, которая не имеет никакого эффекта.

0x801a74bc: переместить v0,a0

• move загружает значение регистра a0 в регистр v0 .

0x801a74c0: младший ра

• jr — инструкция «регистра перехода».
• Программа переходит по адресу, хранящемуся в регистре ra . Скорее всего, это адрес возврата, поэтому функция завершится.

0x801a74c4: _movn v0,v1,a1

• _movn загружает слово из ячейки памяти a1 + 0 = a1 в регистр v0 .

0x801a74c8: j 0x801a74bc

• Это цель перехода первой инструкции beq .
• Программа переходит по адресу 0x801a74bc .

0x801a74cc: _clear v1

• _clear очищает значение регистра v1 .

Похоже, что код реализует какой-то цикл, увеличивая счетчик ( a0 ) и выполняя некоторые вычисления на основе его значения. Детали неясны без дополнительного контекста.

Этот сценарий предоставляется в качестве образца и может потребовать внесения изменений в соответствии с конкретными сценариями использования или изменениями в API Ollama. Пожалуйста, обратитесь к документации API для любых обновлений или изменений.

Этот скрипт создан на основе репозитория GptHidra.

Этот сценарий также использует слегка измененную версию одного из этих сценариев Ghidra.

Большое спасибо участникам этих проектов за их первоначальную работу.