GhidrOllama

该脚本与 Ollama 的 API 交互，以与大型语言模型 (LLM) 交互。它利用 Ollama API 执行各种逆向工程任务，而无需离开 Ghidra。它支持 Ollama 的本地和远程实例。该脚本的灵感来自 GptHidra。

该脚本支持 Ollama 支持的任何模型

Ollama 最近还以 GGUF 格式添加了对 HuggingFace 上可用的任何模型的支持，例如：

 ollama run hf.co/arcee-ai/SuperNova-Medius-GGUF

• 吉德拉
• 奥拉马
• 任何 Ollama 型号

请随意将llama3.1:8b替换为任何 Ollama 兼容型号

 curl -fsSL https://ollama.com/install.sh | sh
ollama run llama3.1:8b

现在您应该可以开始了， localhost:11434应该准备好处理请求

注意：此脚本还支持远程实例，请在首次配置时设置 IP 地址和端口。

1. 解释当前反编译窗口中的函数
2. 为当前函数建议一个名称，如果已启用，将自动命名该函数
3. 用推荐的注释重写当前函数
4. 完全重写当前函数，尝试改进函数/参数/变量名称并添加注释
5. 用户可以询问有关功能的问题
6. 查找错误/建议当前功能中的潜在漏洞（更多只是为了确保您已涵盖所有内容，有些建议很愚蠢，因为它没有上下文）
7. 使用此 LeafBlowerLeafFunctions.py Ghidra 脚本的修改版本自动分析带有剥离符号的二进制文件中潜在的“叶子”函数，例如strcpy 、 memcpy 、 strlen等，如果启用，则自动重命名
8. 解释当前在列表窗口中选择的单个汇编指令
9. 解释当前在列表窗口中选择的多个汇编指令
10. 提问的一般提示输入（而不需要谷歌，适合简单的事情）

以下配置选项可用，并且可以在首次运行时进行配置：

• 服务器 IP ：如果使用远程实例，则设置为远程实例的 IP，否则输入localhost
• 端口：如果您的实例位于不同端口，请在此处更改 - 默认为11434
• 方案：根据实例的配置方式选择http或https
• 模型：选择您想要用于分析的模型，您可以随时更改它
• 项目特定提示：如果需要，用于为模型提供一些额外的上下文
• 响应注释：某些选项将响应存储为函数顶部的注释，可以在此处启用/禁用
• 自动重命名：某些选项尝试根据响应自动重命名函数，可以在此处启用/禁用

选项 11 和 12 可用于在首次运行后调整设置。

1. 将GhidrOllama.py脚本和ghidrollama_utils目录放入 Ghidra 脚本目录（通常为~/ghidra_scripts ）。
2. 找到您想要提供给 LLM 的函数/指令
3. 从脚本管理器窗口运行脚本
4. 如果这是第一次运行脚本，请完成初始配置（稍后可以更改）
5. 选择您想要如何分析功能/指令
6. 等待输出打印到控制台（等待时间因主机型号和规格而异）

每次都进入脚本窗口运行这个脚本很不方便，可以通过以下方式轻松运行该脚本：

• 键绑定：此脚本的默认键绑定是Q
• 工具栏：点击工具栏上的小图标可以运行脚本

要启用此功能，将脚本添加到 Ghidra 脚本目录列表后，请在列表中找到该脚本。右键单击结果，然后选择“分配键绑定”。如果提示输入密钥，请输入q 。

要启用工具栏图标，请在脚本管理器中找到该脚本，然后单击第一列（“在工具栏中”列）中的复选框。 GhidrOllama 图标应出现在工具栏中。

• 值得注意的是，分析的效果取决于模型，这个脚本基本上只是连接模型和 Ghidra
• 模型越好（参数越多，速度越慢），分析就越全面和正确（大多数时候！）
• 如果您想快速了解某个函数， llama3.1:8b速度很快，并且提供了不错的分析
• 小心大函数和低上下文模型，如果函数对于上下文窗口来说太大，模型将完全乱码响应（如果它有响应）

下面是strchr()的实现，如 Ghidra 反编译窗口中所示，带有剥离的符号：

 char * FUN_801a7490 ( char * param_1 , char param_2 )

{
  char cVar1 ;
  char * pcVar2 ;
  
  cVar1 = * param_1 ;
  if ( cVar1 == '' ) {
    pcVar2 = ( char * ) 0x0 ;
  }
  else {
    pcVar2 = ( char * ) 0x0 ;
    do {
      if ( param_2 == cVar1 ) {
        pcVar2 = param_1 ;
      }
      param_1 = param_1 + 1 ;
      cVar1 = * param_1 ;
    } while ( cVar1 != '' );
  }
  if ( param_2 != '' ) {
    param_1 = pcVar2 ;
  }
  return param_1 ;
}

使用llama3.1:8b模型进行以下分析。

有趣的功能！作为逆向工程师助理，我将分解这段代码的作用并提供一些见解。

函数签名

char * FUN_801a7490(char *param_1,char param_2)

该函数有两个参数：

• param_1 ：指向字符数组的指针（可能是字符串）
• param_2 : 单个字符

函数体

该函数执行以下操作：

1. 它检查param_1 ( cVar1 ) 的第一个字符是否为 。如果是，则pcVar2设置为(char *)0x0 ，这本质上是 NULL。
2. 如果cVar1不是 ，它将进入一个循环，其中：

• 它检查字符param_2是否与param_1 ( cVar1 ) 中的当前字符匹配。如果它们匹配，则pcVar2设置为param_1的地址。
• 指针param_1加一以指向字符串中的下一个字符。
• 循环继续，直到到达字符串末尾（即cVar1变为 ）。

3. 如果param_2不为 null，则该函数返回pcVar2中存储的地址。

见解

根据此代码，它似乎正在字符串 ( param_1 ) 中搜索字符 ( param_2 )。一旦找到该字符第一次出现，搜索就会停止。

if (param_2 != '') { param_1 = pcVar2; }语句表明，如果在字符串中找到param_2 ，该函数将返回指向字符串中该位置的指针。如果不是，它仍然返回一个有效的指针（可能指向字符串的开头）。

GhidrOllama 将函数重命名为find_char_in_string

这是修改后的函数，带有附加注释来解释其行为：

 char * FUN_801a7490 ( char * param_1 , char param_2 )
{
  // Initialize a character variable (cVar1) to hold the first character of param_1.
  char cVar1 ;
  
  // Initialize a pointer variable (pcVar2) to point to null initially.
  char * pcVar2 ;
  
  // Assign the first character of param_1 to cVar1. This will be used as a starting point for searching in the string.
  cVar1 = * param_1 ;
  
  // Check if the input string (param_1) is empty ('').
  if ( cVar1 == '' ) {
    // If it's empty, set pcVar2 to null, effectively indicating that no match was found.
    pcVar2 = ( char * ) 0x0 ;
  }
  else {
    // Initialize pcVar2 to null, which will be updated later if a match is found.
    pcVar2 = ( char * ) 0x0 ;
    
    // Loop through the string param_1 until we reach its end ('').
    do {
      // Check if the current character (cVar1) matches the input parameter (param_2).
      if ( param_2 == cVar1 ) {
        // If it's a match, update pcVar2 to point to the beginning of param_1, effectively returning its address.
        pcVar2 = param_1 ;
      }
      
      // Move on to the next character in param_1 by incrementing its pointer (param_1 = param_1 + 1).
      param_1 = param_1 + 1 ;
      
      // Update cVar1 to hold the new current character.
      cVar1 = * param_1 ;
    } while ( cVar1 != '' );
  }
  
  // Check if a match was found by verifying that param_2 is not null ('').
  if ( param_2 != '' ) {
    // If it's not null, update param_1 to point to the matched string in pcVar2.
    param_1 = pcVar2 ;
  }
  
  // Return the address of the matched string or an empty string if no match was found.
  return param_1 ;
}

该函数似乎正在搜索字符串 (param_1) 中的单个字符 (param_2)。它返回匹配字符串的地址，如果没有找到匹配则返回 null。如果输入字符串为空，则立即返回 null。

这是重写的函数，具有更多描述性名称和注释：

 /**
 * Find the index of a given character in a string.
 *
 * @param str The input string to search in.
 * @param charToFind The character to find in the string.
 *
 * @return A pointer to the found character in the string, or NULL if not found.
 */
char * findCharacterInString ( char * str , char charToFind )
{
    // Initialize variables
    char currentChar ;
    char * foundCharPtr ;

    // Check if the input string is empty
    currentChar = * str ;
    if ( currentChar == '' ) {
        // If the string is empty, return NULL
        foundCharPtr = NULL ;
    } else {
        // Initialize pointer to point to end of string
        foundCharPtr = NULL ;

        // Loop through each character in the string
        do {
            // Check if current character matches the character to find
            if ( charToFind == currentChar ) {
                // If a match is found, update the pointer and break out of loop
                foundCharPtr = str ;
                break ;
            }

            // Move to next character in string
            str ++ ;
            currentChar = * str ;
        } while ( currentChar != '' );
    }

    // Ensure that if charToFind is not empty, we return the pointer to the found character
    if ( charToFind != '' ) {
        str = foundCharPtr ;
    }

    // Return the pointer to the found character, or NULL if not found
    return str ;
}

请注意，我使用了更具描述性的函数名称findCharacterInString并添加了注释来解释代码的每个部分的作用。我还使用了更具描述性的变量名称，例如currentChar 、 foundCharPtr 、 str而不是cVar1 、 pcVar2等。

我给了 GhidrOllama 一些我知道包含堆栈溢出的代码，看看它是否发现它，以下是响应：

给定代码片段中可能存在安全漏洞的有趣区域：

1. NULL 指针取消引用：在函数upnp_device_discovery中，当访问偏移量0x2910处的iVar2时，可能会出现 NULL 指针取消引用。如果DAT_8025d514小于 3，并且*(int *)(param_1 + 0x2910)返回 NULL，则可能会发生这种情况。要解决此问题，请添加检查以确保在取消引用iVar2之前不为 NULL。

    if ( DAT_8025d514 < 3 && iVar2 != NULL ) {
     iVar2 = * ( int * )( param_1 + 0x2910 );
   }

2. 缓冲区溢出：在函数upnp_device_discovery中，调用strcpy(auStack_98, iVar2 + 5); 。如果iVar2加 5 超出auStack_98数组的界限，就会发生这种情况。要解决此问题，请添加检查以确保源缓冲区和目标缓冲区对于目标字符串来说不会太大。

    if ( iVar2 != NULL && iVar2 + 5 <= iVar1 ) {
       strcpy ( auStack_98 , iVar2 + 5 );
   }

3. Use-After-Free ：在函数upnp_device_discovery中，在释放 iVar1 后访问iVar1时，存在释放后使用的可能性，如下代码片段所示：

    iVar1 = FUN_801a6bb4 ( iVar2 , s_urn_schemas_wifialliance_org_dev_801eb090 , 0x24 );
   if ( iVar1 == 0 ) {
     iVar2 = iVar2 + 0x24 ;
     iVar1 = FUN_801a7114 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );
   }

   iVar1在分配给FUN_801a7114的行中被释放，但它仍然在下一行中用作参数。要解决此问题，请将FUN_801a7114的结果重新分配回iVar1 。

    iVar1 = FUN_801a7114 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );

4. SQL注入：在函数upnp_device_discovery中，以用户输入作为参数调用FUN_801a6bb4时，存在 SQL 注入的可能性。要解决此问题，请使用参数化查询或准备好的语句来防止 SQL 注入。

    iVar1 = FUN_801a6bb4 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );

这些是可以在给定代码片段中找到的一些潜在安全漏洞。

我们可以看到它在第 2 点中发现了堆栈溢出，在其他点中，它似乎对完全错误的行为做出了假设。

该脚本还可以在列表窗口中提供指令描述（保存浏览程序员手册），下面是一个示例：

 movz v1, a0, v0

这是回应：

令人愉快的 MIPS 指令！

指令movz v1, a0, v0是执行带零扩展操作的整数移动的加载/存储指令。

让我们来分解一下：

• movz ：这是指令的助记符，代表“零扩展移动”。它用于在寄存器之间传输数据，同时扩展符号位。
• v1 、 a0和v0是寄存器名称。在MIPS中，这些寄存器具有以下作用：
  • v1 ：目标寄存器（将存储结果的位置）。
  • a0 ：源寄存器 1（包含要移动的值）。
  • v0 ：在这种情况下不需要源寄存器 2。

该指令的目的是将a0的内容复制到v1中，如果 a0 为负，则扩展a0的符号位。结果将存储在v1中。

为了理解“零扩展”的含义，让我们考虑一个例子：

假设a0包含值-5 。在二进制表示中，这是11111011 。当我们对此值执行零扩展操作时，实际上是添加前导零以使其成为 32 位整数。生成的二进制值将是00000000011111011 。

在汇编代码示例中：

1. 假设寄存器中有以下值：

• a0 ：-5（二进制： 11111011 ）
• 本例中没有使用v0然后，执行movz v1, a0, v0后，寄存器v1将包含值-5 。

2. 现在假设您有：

• a0 ：17（二进制： 00010001 ）
• 再次强调， v0没有被使用

运行movz v1, a0, v0后，寄存器v1仍将保存原始二进制值17 ，因为它已经是正数并且不需要任何零扩展。

3. 再举一个例子：

• a0 ：-128（二进制： 10000000 ）
• 再次强调， v0没有被使用

执行movz v1, a0, v0后，寄存器v1将包含值-128 。

请记住，在 MIPS 中，指令movz只能在相同大小（32 位整数）的寄存器之间移动。价值直接转移，无需任何转换或促销。

总之， movz v1, a0, v0用于将整数数据从一个寄存器 ( a0 ) 复制到另一个寄存器 ( v1 )，并在必要时扩展符号位。

我要求模型解释以下装配：

  801a7490 00 00 82 80     lb         v0,0x0(a0)
  801a7494 00 2e 05 00     sll        a1,a1,0x18
  801a7498 0b 00 40 10     beq        v0,zero,LAB_801a74c8
  801a749c 03 2e 05 00     _sra       a1,a1,0x18
  801a74a0 21 18 00 00     clear      v1
                        LAB_801a74a4                                    XREF[1]:     801a74b4(j)  
  801a74a4 26 10 a2 00     xor        v0,a1,v0
  801a74a8 0a 18 82 00     movz       v1,a0,v0
  801a74ac 01 00 84 24     addiu      a0,a0,0x1
  801a74b0 00 00 82 80     lb         v0,0x0(a0)
  801a74b4 fb ff 40 14     bne        v0,zero,LAB_801a74a4
  801a74b8 00 00 00 00     _nop
                        LAB_801a74bc                                    XREF[1]:     801a74c8(j)  
  801a74bc 21 10 80 00     move       v0,a0
  801a74c0 08 00 e0 03     jr         ra
  801a74c4 0b 10 65 00     _movn      v0,v1,a1
                        LAB_801a74c8                                    XREF[1]:     801a7498(j)  
  801a74c8 2f 9d 06 08     j          LAB_801a74bc
  801a74cc 21 18 00 00     _clear     v1

这是回应：

MIPS 汇编代码片段！

以下是每条指令的作用的细分：

0x801a7490: 磅 v0,0x0(a0)

• lb是“加载字节”指令。
• v0是目标寄存器（即，将存储结果的位置）。
• 0x0(a0)是要加载的字节的有效地址。 (a0)部分表示寄存器a0中的值应与立即数0x0相加，形成有效地址。
• 因此，该指令将内存位置a0 + 0 = a0中的一个字节加载到寄存器v0中。

0x801a7494: sll a1,a1,0x18

• sll是“逻辑左移”指令。
• a1是源寄存器（即要移位的值）。
• 立即数0x18指定要移位的位数。在本例中，它是 24 位（因为 MIPS 使用 32 位字），因此所有位实际上都被清零。
• 因此，该指令清除寄存器a1的高位。

0x801a7498：beq v0，零，0x801a74c8

• beq是“相等则转移”指令。
• 比较前两个操作数。如果它们相等（即都为零），那么......
• ...程序分支到第三个操作数指定的地址： 0x801a74c8 。

0x801a749c: _sra a1,a1,0x18

• 该指令与sll类似，但它是“右移算术”。效果与上一条指令相同。

0x801a74a0：清除v1

• _clear （注意下划线）清除寄存器v1的值。

0x801a74a4: 异或 v0,a1,v0

• xor是“异或”指令。
• 比较前两个操作数。如果在一个操作数中设置了任一位但不是同时设置了两者，则...
• ...结果（寄存器v0 ）中的相应位被设置。

0x801a74a8: movz v1,a0,v0

• _movz （注意下划线）将内存位置a0 + 0 = a0中的一个字加载到寄存器v1中。

0x801a74ac：添加a0,a0,0x1

• addiu是“添加立即无符号”指令。
• 寄存器a0中的值加1。

0x801a74b0: 磅 v0,0x0(a0)

• 这与第一条指令类似。它将内存位置a0 + 0 = a0中的一个字节加载到寄存器v0中。

0x801a74b4：bne v0，零，0x801a74a4

• bne是“不等于则转移”指令。
• 寄存器v0中的值与零进行比较。如果它们不相等（即v0非零），那么......
• ...程序分支回到0x801a74a4 。

0x801a74b8：_nop

• _nop是一条无操作指令，没有任何作用。

0x801a74bc: 移动 v0,a0

• move将寄存器a0的值加载到寄存器v0中。

0x801a74c0：jr ra

• jr是“跳转寄存器”指令。
• 程序跳转到寄存器ra中存储的地址。这可能是返回地址，因此该函数将终止。

0x801a74c4：_movn v0，v1，a1

• _movn将内存位置a1 + 0 = a1中的一个字加载到寄存器v0中。

0x801a74c8：j 0x801a74bc

• 这是第一个beq指令的分支目标。
• 程序分支到0x801a74bc 。

0x801a74cc：_clear v1

• _clear清除寄存器v1的值。

该代码似乎正在实现某种循环，递增计数器（ a0 ）并根据其值进行一些计算。如果没有更多上下文，细节尚不清楚。

此脚本作为示例提供，可能需要修改以适应特定用例或 Ollama API 中的更改。请参阅 API 文档以了解任何更新或更改。

该脚本的灵感来自 GptHidra 存储库。

该脚本还使用这些 Ghidra 脚本之一的稍微修改版本。

非常感谢这些项目的贡献者所做的初步工作。