GhidrOllama

該腳本與 Ollama 的 API 交互，以與大型語言模型 (LLM) 交互。它利用 Ollama API 執行各種逆向工程任務，而無需離開 Ghidra。它支援 Ollama 的本地和遠端實例。該腳本的靈感來自 GptHidra。

該腳本支援 Ollama 支援的任何模型

Ollama 最近還以 GGUF 格式添加了對 HuggingFace 上可用的任何模型的支持，例如：

 ollama run hf.co/arcee-ai/SuperNova-Medius-GGUF

• 吉德拉
• 奧拉瑪
• 任何 Ollama 型號

請隨意將llama3.1:8b替換為任何 Ollama 相容型號

 curl -fsSL https://ollama.com/install.sh | sh
ollama run llama3.1:8b

現在您應該可以開始了， localhost:11434應該準備好處理請求

注意：此腳本還支援遠端實例，請在首次配置時設定 IP 位址和連接埠。

1. 解釋目前在反編譯視窗中的函數
2. 為目前函數建議一個名稱，如果已啟用，將自動命名該函數
3. 用建議的註釋重寫當前函數
4. 完全重寫當前函數，嘗試改進函數/參數/變數名稱並添加註釋
5. 使用者可以詢問有關功能的問題
6. 尋找錯誤/建議當前功能中的潛在漏洞（更多只是為了確保您已涵蓋所有內容，有些建議很愚蠢，因為它沒有上下文）
7. 使用此 LeafBlowerLeafFunctions.py Ghidra 腳本的修改版本自動分析帶有剝離符號的二進位檔案中潛在的「葉子」函數，例如strcpy 、 memcpy 、 strlen等，如果啟用，則自動重命名
8. 解釋目前在清單視窗中選擇的單一彙編指令
9. 解釋目前在清單視窗中選擇的多個彙編指令
10. 提問的一般提示輸入（而不需要谷歌，適合簡單的事情）

以下配置選項可用，並且可以在首次運行時進行配置：

• 伺服器 IP ：如果使用遠端實例，則設定為遠端實例的 IP，否則輸入localhost
• 端口：如果您的執行個體位於不同端口，請在此處變更 - 預設為11434
• 方案：根據實例的配置方式選擇http或https
• 模型：選擇您想要用於分析的模型，您可以隨時更改它
• 項目特定提示：如果需要，用於為模型提供一些額外的上下文
• 回應註釋：某些選項將回應儲存為函數頂部的註釋，可以在此處啟用/停用
• 自動重新命名：某些選項嘗試根據回應自動重新命名函數，可以在此處啟用/停用

選項 11 和 12 可用於在首次運行後調整設定。

1. 將GhidrOllama.py腳本和ghidrollama_utils目錄放入 Ghidra 腳本目錄（通常為~/ghidra_scripts ）。
2. 找到您想要提供給 LLM 的函數/指令
3. 從腳本管理器視窗執行腳本
4. 如果這是第一次運行腳本，請完成初始配置（稍後可以更改）
5. 選擇您想要如何分析功能/指令
6. 等待輸出列印到控制台（等待時間因主機型號和規格而異）

每次都進入腳本視窗運行這個腳本很不方便，可以透過以下方式輕鬆執行該腳本：

• 鍵綁定：此腳本的預設鍵綁定是Q
• 工具列：點擊工具列上的小圖示可以執行腳本

若要啟用此功能，將腳本新增至 Ghidra 腳本目錄清單後，請在清單中找到該腳本。右鍵單擊結果，然後選擇“分配鍵綁定”。如果提示輸入金鑰，請輸入q 。

若要啟用工具列圖標，請在腳本管理員中找到該腳本，然後按一下第一列（「在工具列中」列）中的複選框。 GhidrOllama 圖示應出現在工具列中。

• 值得注意的是，分析的效果取決於模型，這個腳本基本上只是連接模型和 Ghidra
• 模型越好（參數越多，速度越慢），分析就越全面正確（大多時候！）
• 如果您想快速了解某個函數， llama3.1:8b速度很快，並且提供了不錯的分析
• 小心大函數和低上下文模型，如果函數對於上下文視窗來說太大，模型將完全亂碼響應（如果它有響應）

以下是在 Ghidra 反編譯視窗中看到的strchr()的實現，其中有一個剝離的符號：

 char * FUN_801a7490 ( char * param_1 , char param_2 )

{
  char cVar1 ;
  char * pcVar2 ;
  
  cVar1 = * param_1 ;
  if ( cVar1 == '' ) {
    pcVar2 = ( char * ) 0x0 ;
  }
  else {
    pcVar2 = ( char * ) 0x0 ;
    do {
      if ( param_2 == cVar1 ) {
        pcVar2 = param_1 ;
      }
      param_1 = param_1 + 1 ;
      cVar1 = * param_1 ;
    } while ( cVar1 != '' );
  }
  if ( param_2 != '' ) {
    param_1 = pcVar2 ;
  }
  return param_1 ;
}

使用llama3.1:8b模型進行以下分析。

有趣的功能！作為逆向工程師助理，我將分解這段程式碼的作用並提供一些見解。

函數簽名

char * FUN_801a7490(char *param_1,char param_2)

此函數有兩個參數：

• param_1 ：指向字元陣列的指標（可能是字串）
• param_2 : 單一字符

函數體

此函數執行以下操作：

1. 它檢查param_1 ( cVar1 ) 的第一個字元是否為 。如果是，則pcVar2設定為(char *)0x0 ，這本質上是 NULL。
2. 如果cVar1不是 ，它將進入一個循環，其中：

• 它檢查字元param_2是否與param_1 ( cVar1 ) 中的目前字元相符。如果它們匹配，則pcVar2設定為param_1的位址。
• 指標param_1加一以指向字串中的下一個字元。
• 循環繼續，直到到達字串末尾（即cVar1變為 ）。

3. 如果param_2不為 null，則函數傳回pcVar2中儲存的位址。

見解

根據此代碼，它似乎正在字串 ( param_1 ) 中搜尋字元 ( param_2 )。一旦找到該字元第一次出現，搜尋就會停止。

if (param_2 != '') { param_1 = pcVar2; }語句表明，如果在字串中找到param_2 ，則函數將傳回指向字串中該位置的指標。如果不是，它仍然會傳回一個有效的指標（可能指向字串的開頭）。

GhidrOllama 將函數重新命名為find_char_in_string

這是修改後的函數，附有附加註解來解釋其行為：

 char * FUN_801a7490 ( char * param_1 , char param_2 )
{
  // Initialize a character variable (cVar1) to hold the first character of param_1.
  char cVar1 ;
  
  // Initialize a pointer variable (pcVar2) to point to null initially.
  char * pcVar2 ;
  
  // Assign the first character of param_1 to cVar1. This will be used as a starting point for searching in the string.
  cVar1 = * param_1 ;
  
  // Check if the input string (param_1) is empty ('').
  if ( cVar1 == '' ) {
    // If it's empty, set pcVar2 to null, effectively indicating that no match was found.
    pcVar2 = ( char * ) 0x0 ;
  }
  else {
    // Initialize pcVar2 to null, which will be updated later if a match is found.
    pcVar2 = ( char * ) 0x0 ;
    
    // Loop through the string param_1 until we reach its end ('').
    do {
      // Check if the current character (cVar1) matches the input parameter (param_2).
      if ( param_2 == cVar1 ) {
        // If it's a match, update pcVar2 to point to the beginning of param_1, effectively returning its address.
        pcVar2 = param_1 ;
      }
      
      // Move on to the next character in param_1 by incrementing its pointer (param_1 = param_1 + 1).
      param_1 = param_1 + 1 ;
      
      // Update cVar1 to hold the new current character.
      cVar1 = * param_1 ;
    } while ( cVar1 != '' );
  }
  
  // Check if a match was found by verifying that param_2 is not null ('').
  if ( param_2 != '' ) {
    // If it's not null, update param_1 to point to the matched string in pcVar2.
    param_1 = pcVar2 ;
  }
  
  // Return the address of the matched string or an empty string if no match was found.
  return param_1 ;
}

該函數似乎正在搜尋字串 (param_1) 中的單一字元 (param_2)。它傳回符合字串的位址，如果沒有找到符合則傳回 null。如果輸入字串為空，則立即傳回 null。

這是重寫的函數，具有更多描述性名稱和註釋：

 /**
 * Find the index of a given character in a string.
 *
 * @param str The input string to search in.
 * @param charToFind The character to find in the string.
 *
 * @return A pointer to the found character in the string, or NULL if not found.
 */
char * findCharacterInString ( char * str , char charToFind )
{
    // Initialize variables
    char currentChar ;
    char * foundCharPtr ;

    // Check if the input string is empty
    currentChar = * str ;
    if ( currentChar == '' ) {
        // If the string is empty, return NULL
        foundCharPtr = NULL ;
    } else {
        // Initialize pointer to point to end of string
        foundCharPtr = NULL ;

        // Loop through each character in the string
        do {
            // Check if current character matches the character to find
            if ( charToFind == currentChar ) {
                // If a match is found, update the pointer and break out of loop
                foundCharPtr = str ;
                break ;
            }

            // Move to next character in string
            str ++ ;
            currentChar = * str ;
        } while ( currentChar != '' );
    }

    // Ensure that if charToFind is not empty, we return the pointer to the found character
    if ( charToFind != '' ) {
        str = foundCharPtr ;
    }

    // Return the pointer to the found character, or NULL if not found
    return str ;
}

請注意，我使用了更具描述性的函數名稱findCharacterInString並添加了註釋來解釋程式碼的每個部分的作用。我還使用了更具描述性的變數名稱，例如currentChar 、 foundCharPtr 、 str而不是cVar1 、 pcVar2等。

我給了 GhidrOllama 一些我知道包含堆疊溢出的程式碼，看看它是否發現它，以下是回應：

給定程式碼片段中可能存在安全漏洞的有趣區域：

1. NULL 指標取消引用：在函數upnp_device_discovery中，當存取偏移量0x2910處的iVar2時，可能會出現 NULL 指標取消引用。如果DAT_8025d514小於 3，且*(int *)(param_1 + 0x2910)傳回 NULL，則可能會發生這種情況。要解決此問題，請新增檢查以確保在取消引用iVar2之前不為 NULL。

    if ( DAT_8025d514 < 3 && iVar2 != NULL ) {
     iVar2 = * ( int * )( param_1 + 0x2910 );
   }

2. 緩衝區溢位：在函數upnp_device_discovery中，呼叫strcpy(auStack_98, iVar2 + 5); 。如果iVar2加 5 超出auStack_98數組的界限，就會發生這種情況。要解決此問題，請新增檢查以確保來源緩衝區和目標緩衝區對於目標字串來說不會太大。

    if ( iVar2 != NULL && iVar2 + 5 <= iVar1 ) {
       strcpy ( auStack_98 , iVar2 + 5 );
   }

3. Use-After-Free ：在函數upnp_device_discovery中，在釋放 iVar1 後存取iVar1時，存在釋放後使用的可能性，如下程式碼片段所示：

    iVar1 = FUN_801a6bb4 ( iVar2 , s_urn_schemas_wifialliance_org_dev_801eb090 , 0x24 );
   if ( iVar1 == 0 ) {
     iVar2 = iVar2 + 0x24 ;
     iVar1 = FUN_801a7114 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );
   }

   iVar1在分配給FUN_801a7114的行中被釋放，但它仍然在下一行中用作參數。若要解決此問題，請將FUN_801a7114的結果重新指派回iVar1 。

    iVar1 = FUN_801a7114 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );

4. SQL注入：在函數upnp_device_discovery中，以使用者輸入為參數呼叫FUN_801a6bb4時，有 SQL 注入的可能性。若要解決此問題，請使用參數化查詢或準備好的語句來防止 SQL 注入。

    iVar1 = FUN_801a6bb4 ( iVar2 , s_check_pse_fid_Q7__801d0030 + 0x10 );

這些是可以在給定程式碼片段中找到的一些潛在安全漏洞。

我們可以看到它在第 2 點中發現了堆疊溢出，在其他點中，它似乎對完全錯誤的行為做出了假設。

該腳本還可以在清單視窗中提供指令描述（儲存瀏覽程式設計師手冊），以下是一個範例：

 movz v1, a0, v0

這是回應：

令人愉快的 MIPS 指令！

指令movz v1, a0, v0是執行帶零擴展操作的整數移動的載入/儲存指令。

讓我們來分解一下：

• movz ：這是指令的助記符，代表「零擴展移動」。它用於在寄存器之間傳輸數據，同時擴展符號位。
• v1 、 a0和v0是暫存器名稱。在MIPS中，這些暫存器具有以下作用：
  • v1 ：目標暫存器（將儲存結果的位置）。
  • a0 ：來源暫存器 1（包含要移動的值）。
  • v0 ：在這種情況下不需要來源暫存器 2。

指令的目的是將a0的內容複製到v1中，如果 a0 為負，則擴展a0的符號位。結果將儲存在v1中。

為了理解「零擴展」的含義，讓我們考慮一個例子：

假設a0包含值-5 。在二進位表示法中，這是11111011 。當我們對此值執行零擴展操作時，實際上是添加前導零以使其成為 32 位元整數。產生的二進位值將是00000000011111011 。

在彙編程式碼範例中：

1. 假設暫存器中有以下值：

• a0 ：-5（二進位： 11111011 ）
• 本例中沒有使用v0然後，執行movz v1, a0, v0後，暫存器v1將包含值-5 。

2. 現在假設您有：

• a0 ：17（二進位： 00010001 ）
• 再次強調， v0沒有被使用

運行movz v1, a0, v0後，暫存器v1仍將保存原始二進位值17 ，因為它已經是正數並且不需要任何零擴展。

3. 再舉一個例子：

• a0 ：-128（二進位： 10000000 ）
• 再次強調， v0沒有被使用

執行movz v1, a0, v0後，暫存器v1將包含值-128 。

請記住，在 MIPS 中，指令movz只能在相同大小（32 位元整數）的暫存器之間移動。價值直接轉移，無需任何轉換或促銷。

總之， movz v1, a0, v0用於將整數資料從一個暫存器 ( a0 ) 複製到另一個暫存器 ( v1 )，並在必要時擴展符號位元。

我要求模型解釋以下組裝：

  801a7490 00 00 82 80     lb         v0,0x0(a0)
  801a7494 00 2e 05 00     sll        a1,a1,0x18
  801a7498 0b 00 40 10     beq        v0,zero,LAB_801a74c8
  801a749c 03 2e 05 00     _sra       a1,a1,0x18
  801a74a0 21 18 00 00     clear      v1
                        LAB_801a74a4                                    XREF[1]:     801a74b4(j)  
  801a74a4 26 10 a2 00     xor        v0,a1,v0
  801a74a8 0a 18 82 00     movz       v1,a0,v0
  801a74ac 01 00 84 24     addiu      a0,a0,0x1
  801a74b0 00 00 82 80     lb         v0,0x0(a0)
  801a74b4 fb ff 40 14     bne        v0,zero,LAB_801a74a4
  801a74b8 00 00 00 00     _nop
                        LAB_801a74bc                                    XREF[1]:     801a74c8(j)  
  801a74bc 21 10 80 00     move       v0,a0
  801a74c0 08 00 e0 03     jr         ra
  801a74c4 0b 10 65 00     _movn      v0,v1,a1
                        LAB_801a74c8                                    XREF[1]:     801a7498(j)  
  801a74c8 2f 9d 06 08     j          LAB_801a74bc
  801a74cc 21 18 00 00     _clear     v1

這是回應：

MIPS 彙編程式碼片段！

以下是每條指令的作用的細分：

0x801a7490: 磅 v0,0x0(a0)

• lb是「載入位元組」指令。
• v0是目標暫存器（即，將儲存結果的位置）。
• 0x0(a0)是要載入的位元組的有效位址。 (a0)部分錶示暫存器a0中的值應與立即數0x0相加，形成有效位址。
• 因此，該指令將記憶體位置a0 + 0 = a0中的一個位元組載入到暫存器v0中。

0x801a7494: sll a1,a1,0x18

• sll是「邏輯左移」指令。
• a1是來源暫存器（即要移位的值）。
• 立即數0x18指定要移位的位數。在本例中，它是 24 位元（因為 MIPS 使用 32 位元字），因此所有位元實際上都被清除。
• 因此，此指令清除暫存器a1的高位。

0x801a7498：beq v0，零，0x801a74c8

• beq是「相等則轉移」指令。
• 比較前兩個操作數。如果它們相等（即都為零），那麼......
• ...程式分支到第三個操作數指定的位址： 0x801a74c8 。

0x801a749c: _sra a1,a1,0x18

• 該指令與sll類似，但它是“右移算術”。效果與上一條指令相同。

0x801a74a0：清除v1

• _clear （注意底線）清除暫存器v1的值。

0x801a74a4: 異或 v0,a1,v0

• xor是「異或」指令。
• 比較前兩個操作數。如果在一個運算元中設定了任一位但不是同時設定了兩者，則...
• ...結果（暫存器v0 ）中的對應位元被設定。

0x801a74a8: movz v1,a0,v0

• _movz （注意底線）將記憶體位置a0 + 0 = a0中的一個字載入到暫存器v1中。

0x801a74ac：新增a0,a0,0x1

• addiu是「新增立即無符號」指令。
• 暫存器a0中的值加1。

0x801a74b0: 磅 v0,0x0(a0)

• 這與第一條指令類似。它將記憶體位置a0 + 0 = a0中的一個位元組載入到暫存器v0中。

0x801a74b4：bne v0，零，0x801a74a4

• bne是「不等於則轉移」指令。
• 暫存器v0中的值與零進行比較。如果它們不相等（即v0非零），那麼......
• ...程式分支回到0x801a74a4 。

0x801a74b8：_nop

• _nop是一條無操作指令，沒有任何作用。

0x801a74bc: 移動 v0,a0

• move將暫存器a0的值載入到暫存器v0中。

0x801a74c0：jr ra

• jr是「跳轉暫存器」指令。
• 程式跳到暫存器ra中儲存的位址。這可能是返回地址，因此該函數將終止。

0x801a74c4：_movn v0，v1，a1

• _movn將記憶體位置a1 + 0 = a1中的一個字載入到暫存器v0中。

0x801a74c8：j 0x801a74bc

• 這是第一個beq指令的分支目標。
• 程式分支到0x801a74bc 。

0x801a74cc：_clear v1

• _clear清除暫存器v1的值。

該程式碼似乎正在實現某種循環，遞增計數器（ a0 ）並根據其值進行一些計算。如果沒有更多上下文，細節尚不清楚。

此腳本作為範例提供，可能需要修改以適應特定用例或 Ollama API 中的變更。請參閱 API 文件以了解任何更新或變更。

該腳本的靈感來自 GptHidra 儲存庫。

該腳本還使用這些 Ghidra 腳本之一的稍微修改版本。

非常感謝這些專案的貢獻者所做的初步工作。