09/09/19
Компания Cisco Talos выпустила два новых инструмента для интерактивного дизассемблера IDA Pro — GhIDA и Ghidraaas .
GhIDA представляет собой плагин для IDA Pro, интегрирующий декомпилятор Ghidra в рабочий процесс IDA. С его помощью пользователи могут переименовывать и выделять символы, лучше ориентироваться в коде, а также добавлять комментарии. GhIDA участвует в процессе обратного инжиниринга, декомпилируя файлы в формате PE и ELF с помощью локальной установки Ghidra или контейнера Ghidraaas.
Новый плагин для IDA предоставляет следующие функции: синхронизацию поля дизассемблера с полем декомпилятора, выделение синтаксиса декомпилированного кода, навигация по коду путем двойного щелчка по имени символа, добавление комментариев в поле декомпилятора, переименование и выделение символов, хранение декомпилированного кода и комментариев.
Декомпилятор Ghidra — отдельный проект, написанный на языке C++, который используется для проведения обратного инжиниринга. Ghidra связывается с декомпилятором через потоки stdin и stout, используя двоичный протокол в классе DecompileProcess, в то время как класс Java DecompInterface реализует логику связи.
Ghidra позволяет пользователям импортировать двоичный файл в виде XML или байтов — процедура, которая позволяет импортировать в Ghidra экспортированные проекты из IDA. Ghidra также предоставляет плагин для IDA с Python-библиотекой для упрощения процесса экспорта. Ghidra также может выполнять Python-скрипты (используя версию Analyze Headless для командной строки) непосредственно в экспортированном IDA XML и байтовых файлах.
Ознакомиться с работой инструмента можно в видео.
