GhidraEmu

ปลั๊กอิน Ghidra รุ่นทดลองนี้ช่วยให้คุณสามารถจัดการกับการจำลอง pcode ดั้งเดิมได้อย่างง่ายดาย ไม่จำเป็นต้องใช้สคริปต์อีกต่อไป เพียงใช้โดยตรงจาก Ghidra มีประโยชน์อย่างยิ่งสำหรับการทำงานกับโปรเซสเซอร์แปลกใหม่หลายตัวที่อีมูเลเตอร์ทั่วไปไม่รองรับ

หาก Ghidra รองรับโปรเซสเซอร์/vm สำหรับวิศวกรรมย้อนกลับ ก็สามารถจำลองได้! ตัวอย่างเช่น การจำลองคำสั่ง eBPF จะแสดงไว้ด้านล่าง:

โดยพื้นฐานแล้ว ปลั๊กอินเป็นส่วนขยายเพิ่มเติมรอบๆ คลาสภายในแพ็คเกจ ghidra.app.emulator นี่คือสิ่งที่ได้ดำเนินการไปแล้ว:

• ทำงานได้กับสถาปัตยกรรมทั้งหมดที่ Ghidra รองรับ คุณจึงเพิ่มโปรเซสเซอร์แปลกใหม่และจำลองได้
• บริบทของ CPU, สแต็ก และการจำลองฮีป
• การใช้ไบต์ที่ถูกแพตช์ผ่าน Ghidra GUI เพื่อเปลี่ยนเส้นทางการจำลอง
• เบรกพอยต์เพื่อควบคุมกระบวนการจำลอง
• การแสดงไบต์ที่เปลี่ยนแปลงระหว่างการจำลองใน ByteViewer
• การเชื่อมต่อฟังก์ชั่น libc บางอย่าง (แม้ว่าจะยังแย่อยู่ก็ตาม)

แม้ว่าการจำลอง PCode จะสื่อถึงการรวมเป็นหนึ่งเดียว แต่โปรเซสเซอร์ส่วนใหญ่จำเป็นต้องมีแนวทางของตนเอง รู้สึกอิสระที่จะรายงานปัญหาใด ๆ ที่คุณพบ ฉันต้องการทดสอบโปรเซสเซอร์ทั้งหมดจริงๆ แต่แทบจะเป็นไปไม่ได้เลย

• ก้าวเข้าสู่ฟังก์ชันไลบรารีภายนอก (ข้อจำกัดของ EmulatorHelper)
• การจำลอง Syscall

ประกอบด้วยหน้าต่างปลั๊กอินทั้งหมด: มุมมองสแต็ก, รีจิสเตอร์, มุมมองเบรกพอยต์ และหน้าต่างหลัก

ประกอบด้วยปุ่มลัดสำหรับการตั้งค่าจุดเริ่มต้นและจุดสิ้นสุดของการจำลอง เบรกพอยต์ และการใช้ไบต์ที่เปลี่ยนแปลงไปในสถานะโปรแกรมจำลอง

เปลี่ยนทะเบียนตามที่คุณต้องการ การตั้งค่าลิงค์รีจิสเตอร์ (ลูกศรสีเขียว) จะช่วยให้โปรแกรมจำลองเข้าใจว่ารีจิสเตอร์ใดมีที่อยู่ผู้ส่ง ปลั๊กอินรู้วิธีการทำงานผ่านสแต็ก, lr register, AARCH64 และ MIPS register หากคุณมีของแปลกใหม่ให้เลือกลิงค์ ลงทะเบียน แล้วกดปุ่ม

เมื่อคุณเปิดโปรแกรมของคุณใน СodeBrowser GhidraEmu จะแมปพื้นที่สแต็กโดยอัตโนมัติ ตัวชี้สแต็กจะถูกตั้งค่าไว้ตรงกลางของช่วงสแต็ก ซึ่งจะทำให้คุณสามารถตั้งค่าที่ด้านบนหรือด้านล่างของเฟรมสแต็กได้ เลื่อนไปหากคุณประสบปัญหาค้างขณะอัปเดตหรือรีเซ็ต ในระหว่างกระบวนการจำลอง หากโปรแกรมต้องการพื้นที่เพิ่มสำหรับสแต็ก ปลั๊กอินจะจัดสรรให้โดยอัตโนมัติ

หากไบต์ใดๆ เปลี่ยนแปลงระหว่างการจำลอง คุณจะเห็นไบต์เหล่านั้นใน ByteViewer แบบคลาสสิก ไม่ต้องกังวล ค่าเหล่านั้นจะถูกรีเซ็ตเป็นค่าเดิมหลังจากกดปุ่ม "รีเซ็ต"

หากคุณทำการเปลี่ยนแปลง ให้แจ้งให้โปรแกรมจำลองทราบเกี่ยวกับไบต์ที่เปลี่ยนแปลง (สแต็กการอัปเดตโดยอัตโนมัติ - ไม่จำเป็นต้องใช้) หลังจากเปลี่ยนแล้ว ให้เลือก (จะเป็นสีเขียว) แล้วกดตัวเลือกนี้ (หรือใช้ปุ่มลัด "M")

ที่นี่ปลั๊กอินจะพิมพ์ข้อมูลเอาต์พุต ตัวอย่างเช่น ข้อความแสดงข้อผิดพลาดการจำลองดังนี้:

คุณลักษณะ "ข้าม" ช่วยให้คุณสามารถข้ามไปข้างหน้าหนึ่งคำสั่งได้ หากคุณไม่ต้องการเลียนแบบคำสั่งปัจจุบันด้วยเหตุผลบางประการ เนื่องจากกระบวนการจำลองจะถูกยกเลิกหากตรวจพบความพยายามที่จะอ่านหน่วยความจำที่ไม่ได้เตรียมใช้งาน คุณลักษณะนี้จึงช่วยให้คุณสามารถข้ามไปได้ ดูตัวอย่าง นี่คือหนึ่งในคำแนะนำแรกๆ ในโปรแกรม x86_64 หลายโปรแกรม การบันทึก canary stack:

MOV RAX, qword ptr FS:[0x28]

เราจะพยายามโกงนิดหน่อยแล้วข้ามไปโดยการเพิ่มมูลค่าพีซี หากต้องการทำสิ่งนี้ ให้หยุดที่คำสั่งที่คุณไม่ต้องการเลียนแบบแล้วกดปุ่มลัด J มิฉะนั้น การก้าวต่อไปอาจส่งผลให้เกิดข้อผิดพลาดในการอ่านหน่วยความจำที่ไม่ได้เตรียมใช้งาน

หากคุณหยุดที่คำสั่งที่นำไปสู่รูทีนย่อย (การโทรภายใน) และคุณต้องการจำลองทุกอย่างจนถึงคำสั่งถัดไป (แบบคลาสสิก "ก้าวข้าม") ให้กดปุ่มลัด F6 และมันจะเกิดขึ้นอย่างแน่นอน:

ประเด็นสำคัญบางประการที่ควรพิจารณา :

• อย่าลืมวิเคราะห์โปรแกรมของคุณใน Ghidra โปรแกรมจำลองขึ้นอยู่กับมัน
• ดังที่ได้กล่าวไปแล้ว ให้ตั้งค่าลิงค์รีจิสเตอร์หากคุณมีโปรเซสเซอร์/vm ที่แปลกใหม่
• หากโปรเซสเซอร์ของไบนารี่ของคุณต้องการเซ็กเมนต์หน่วยความจำบางส่วนตามข้อกำหนด อย่าลืมสร้างเซ็กเมนต์เหล่านั้นใน Ghidra MemoryMap Window และเริ่มต้นด้วยค่าศูนย์ มิฉะนั้นโปรแกรมจำลองจะบ่นเกี่ยวกับพื้นที่หน่วยความจำที่ไม่รู้จักระหว่างการดำเนินการอ่าน/เขียน และจะหยุดกระบวนการจำลอง หากมีบล็อกหน่วยความจำอยู่แต่ไม่ได้กำหนดค่าเริ่มต้นด้วยศูนย์และจำเป็นสำหรับโปรแกรมจำลอง ปลั๊กอินจะพยายามทำให้เริ่มต้นเพื่อให้การจำลองดำเนินต่อไป
• หากคุณเปลี่ยนไบต์ใดๆ ผ่าน ByteViewer ปลั๊กอินจะไม่คืนค่าให้เป็นค่าดั้งเดิมในระหว่างการรีเซ็ตสถานะการจำลอง
• ก่อนที่จะปิดโปรเจ็กต์ใน Ghidra คุณควรกดปุ่ม "รีเซ็ต" และรีเซ็ตสถานะของการจำลองครั้งล่าสุดหากยังไม่ได้ดำเนินการ นี่เป็นสิ่งสำคัญเนื่องจากในขณะที่ปิด ธุรกรรมของคำสั่งการทาสีใหม่ตามคำสั่งในรายการจะไม่ถูกดำเนินการ เช่นเดียวกับธุรกรรมในการกู้คืนไบต์ของโปรแกรมหลังการจำลอง สิ่งนี้ไม่เพียงแต่นำไปสู่การมองเห็น "นกแก้วสีเหลืองตัวเก่า" ซึ่งเป็นปัญหาน้อยที่สุด แต่ยังรวมไปถึงไบต์ที่ถูกแก้ไขที่เหลืออยู่เช่นนี้และไม่กลับคืนสู่ค่าดั้งเดิม (เว้นแต่ว่าโปรเจ็กต์จะถูกย้อนกลับใน Ghidra แน่นอน ).

1. ใช้ gradle เพื่อสร้างส่วนขยาย: GHIDRA_INSTALL_DIR=${GHIDRA_HOME} gradle และใช้ Ghidra เพื่อติดตั้ง: File → Install Extensions...

2. ใน CodeBrowser ไปที่ File → Configure → Miscellaneous และเลือกช่องทำเครื่องหมายสำหรับปลั๊กอิน GhidraEmu

พบข้อบกพร่องขณะใช้ปลั๊กอินหรือมีแนวคิดในการปรับปรุงหรือไม่ อย่าอายที่จะเปิดประเด็นใหม่ แล้วฉันจะเข้าใจ

ข้อจำกัดของ EmulatorHelper ไม่อนุญาตให้ใช้พื้นที่โปรแกรมในอีกที่หนึ่ง ดังนั้นไลบรารีที่ใช้ร่วมกันภายนอกของคุณจะไม่มีทางรู้เกี่ยวกับพื้นที่หน่วยความจำของโปรแกรมและในทางกลับกัน ดังนั้นคุณจึงไม่สามารถจำลองมันเป็นกระบวนการเดียวกับพื้นที่หน่วยความจำเดียวได้ แจ้งให้เราทราบหากฉันขาดอะไรบางอย่างที่นี่