Ghidra是由国家安全局研究局开发的软件逆向工程(SRE)框架。该框架包括一套功能齐全的高端软件分析工具,使用户能够在包括Windows,MacOS和Linux在内的各种平台上分析编译后的代码。功能包括反汇编,汇编,反编译,制图和脚本编写,以及数百种其他功能。 Ghidra支持多种处理器指令集和可执行格式,并且可以在用户交互和自动模式下运行。用户还可以使用公开的API开发自己的Ghidra插件组件和/或脚本。此外,还有许多扩展Ghidra的方法,例如新的处理器,装载机/出口商,自动分析仪和新的可视化文件。为了支持NSA的网络安全任务,构建Ghidra的目的是解决复杂的SRE工作中的扩展和团队合作问题,并提供可定制和可扩展的SRE研究平台。 NSA已将Ghidra SRE功能应用于各种问题,这些问题涉及分析恶意代码并为寻求更好地了解网络和系统中潜在漏洞的NSA分析人员提供深刻的见解。
更新日志
Ghidra 9.2.3(2021年3月)
改进
分析。在.NEP部分中添加了对vftable条目的检查,并放宽了代码必须返回的要求。(GP-649)
分析。纠正了RTTI分析仪确定vftable大小时的缺陷。(GP-688)
基本基础结构。更新了TLS协议首选项,以使用SSL连接双方(例如TLSv1.3)可用的最优先/最新版本,而不是强制使用TLSv1.2。(GP-622)
构建。纠正了导致用户无法在Apple M1(OS X,AARCH64体系结构)上构建Ghidra的构建问题。(GP-600,第2653期)
Demangler。通过更改某些正则表达式,提高了Gnu Demangler的解析性能。(GP-705)
Eclipse集成。更新了SleighEditor以在定义令牌定义上支持新的字节序标记。(GP-721)
GUI。更新了“选择数据类型”对话框,以与从“数据类型”窗口中拖动类型相同的方式应用数据类型。这为用户提供了更多控制,选择如何覆盖现有类型。(GP-521)
进口商:ELF。添加了对ELF重定位R_X86_64_IRELATIVE的支持。(GP-651,第1189版)
进口商:ELF。加快使用大型符号表加载ELF文件的速度。(GP-697)
错误
分析。现在,RTTI分析器在引用分析之前运行,因此在创建vftable之前,不会将对vftable的引用转换为代码或数据。(GP-517)
API。Funtion.getCalledFunctions(TaskMonitor)和Function.getCallingFunctions(TaskMonitor)现在支持为任务监视器参数传递null,以前该参数会引发异常。(GP-589,问题#2643)
数据类型。纠正了16:16 x86远指针的分段32位指针数据类型地址生成。(GP-534,问题#2548)
反编译器。修复了反编译器的问题,当函数名称超出行数限制时,行尾注释可以环绕到其他行,而无需包含其他//注释指示符。(GP-473)
反编译器。纠正了尝试从反编译器编辑功能签名时可能发生的异常。(GP-597,问题#2601)
德曼格勒。将Demangler应用于构造函数的返回类型从void更改为Undefined,从而允许Decompiler确定类型。(GP-790)
DWARF。改进了对空DWARF编译单元的处理。(GP-743)
DWARF。当参数信息包含不受支持的位置操作码或无法解析数据类型时,改进的DWARF函数签名处理。(GP-794)
Eclipse集成。将SleighEditor安装到Eclipse中时,该插件现在将显示在Ghidra类别下。以前,必须先关闭“按类别分组项目”选项,然后SleighEditor才会显示为可见条目。(GP-564)
Eclipse集成。修复了Eclipse PyDev断点无法捕获的问题。(GP-668,问题#2713)
Eclipse集成。修复了如果不存在〜/ghidra_scripts目录,则在创建新的Ghidra脚本项目时发生的Eclipse GhidraDev异常。(GP-669)
仿真器。替换了Java浮点仿真,以解决多个舍入问题。(GP-357,第#2414版)
绘图。解决了图形过滤器在更改边缘过滤器时不更新卫星视图的问题。(GP-557)
绘图。修复了固定在“代码浏览器”主窗口中时无法使用的功能图键绑定。(GP-586,问题#2641)
GUI。修复了由于在清单中没有打开的程序时使用“转到”操作而导致的NullPointerException。(GP-66)
GUI。修复了导致异常的参考代码查看器选项中的错误。(GP-620,问题#2672)
进口商。修复了在导入先前导出的XML数据(其中书签替代选项已关闭)时导致的异常。(GP-667)
进口商:ELF。修复了由于导入带有未初始化的.got节的ELF而导致的NullPointerException。(GP-360,问题#2416)
进口商:ELF。添加了对ELF R_ARM_MOVW_ABS_NC和R_ARM_MOVT_ABS ARM的ELF重定位的支持。(GP-555,问题#2510)
进口商:ELF。纠正了.init_array和.fini_array的ELF处理,该处理为图像库更改错误地过度调整了条目。(GP-699)
进口商:Mach-O。更正了Mach-O胖二进制库导入问题,并解决了与未命名的Mach-O段有关的错误。(GP-652,问题#2702)
进口商:Mach-O。修复了在错误的位置创建DYLD加载命令数据结构的问题。(GP-689,第2624期)
进口商:Mach-O。修复了导入定义零个LC_BUILD_VERSION工具条目的Mach-O文件时发生的异常。(GP-702,第2192版)
PDB。修复了createPdbXmlFiles.bat允许在Ghidra安装文件夹的路径名和批处理参数名中包含空格的问题。(GP-575,第2167版)
PDB。修复了PDB Universal分析器在完成后设置运行一次标志的问题。(GP-724)
PDB。将PDB Universal应用于构造函数的返回类型从void更改为Undefined,从而允许反编译器确定类型。(GP-791)
处理器。在MIPS之前的R3000版本中添加了缺少的RFE指令。(GP-33,问题#1766)
处理器。ARM指令VMUL现在可以正确解码。(GP-627,第2677版)
处理器。在AARCH64处理器规范中添加了缺少的CFINV指令,并在霓虹灯指令中添加了本地变量的定义。(GP-655,第2710版)
脚本。修复了analyticHeadless-scriptPath选项不适用于非默认目录中的Python和其他非Java脚本的情况。(GP-528,问题#2561)
脚本。修复了脚本捆绑路径的管理方面的并发问题。(GP-576)
脚本。更正了对Ghidra脚本文件的处理,这些文件是Ghidra 9.2中损坏的符号链接。(GP-650,第2698版)
脚本。修复了analyticHeadless-scriptPath选项以正确解析$GHIDRA_HOME和$USER_HOME。(GP-781)
