NSA发布了Ghidra 这是一个免费的软件逆向工程工具包

导读在今天的RSA安全会议上，美国国家安全局(National Security Agency)发布了Ghidra，Ghidra是一种免费的软件逆向工程工具，该机构已经在内

在今天的RSA安全会议上，美国国家安全局(National Security Agency)发布了Ghidra，Ghidra是一种免费的软件逆向工程工具，该机构已经在内部使用了十多年了。

该工具是软件工程师的理想选择，但首先对恶意软件分析师特别有用。

NSA的总体计划是释放Ghidra，以便安全研究人员可以适应它，然后再申请NSA或NSA之前与之私下共享Ghidra的其他政府情报机构的职位。

Ghidra目前只能通过其官方网站下载，但NSA还计划在未来的将来根据GitHub上的开源许可发布其源代码。

NSA即将发布Ghidra的消息最早是在今年年初发布的，在过去的两个月中，这个工具一直在每个人的脑海中浮现。

原因是Ghidra是IDA Pro的免费替代产品，IDA Pro是一种类似的逆向工程工具，只能在非常昂贵的商业许可下使用，每年的价格在数千美元之内。

由于免费提供，大多数专家期望Ghidra在几周之内抢占逆向工程工具市场的很大一部分，特别是因为早期的用户评论几乎都是正面的。

至于技术特性，Ghidra用Java编码，具有图形用户界面(GUI)，并且可以在Windows，Mac和Linux上运行。

据国家安全局高级顾问，美国国家安全局(NSA)官员罗伯·乔伊斯(Rob Joyce)今日在RSA大会上宣布该工具的发布，吉德拉(Ghidra)可以分析针对多种架构编写的二进制文件，并且可以根据需要轻松扩展更多二进制文件。。

Ghidra处理器模块：X86 16/32/64，ARM / AARCH64，PowerPC 32/64，VLE，MIPS 16/32/64，micro，68xxx，Java / DEX字节码，PA-RISC，PIC 12/16/17/18 / 24，Sparc 32/64，CR16C，Z80、6502、8051，MSP430，AVR8，AVR32和其他+变体。高级用户可以通过定义新用户来扩展

-Rob Joyce(@RGB_Lights)2019年3月5日

我们与Rob Joyce一起宣布#Ghidra还活着!下载副本：https : //t.co/h7hOPQIChJ并开始反向!#RSAC #RSAC2019 pic.twitter.com/VXUSFopMOk

-NSA / CSS(@NSAGov)，2019年3月6日

安装Ghidra就像解压缩ZIP存档一样简单。唯一的要求是运行该应用程序的GUI所需的Java Development Kit 11或更高版本。该工具的官方文档提供了有关该工具安装例程的更多信息：

Ghidra不使用传统的安装程序。取而代之的是，Ghidra分发文件只是在文件系统上原地提取。这种方法具有优点和缺点。从好的方面来说，安装Ghidra供个人使用不需要管理特权。另外，由于安装Ghidra不会更新Windows上的注册表之类的任何操作系统配置，因此删除Ghidra就像删除Ghidra安装目录一样简单。

除了安装指南，Ghidra的文档还附带针对初学者，中级和高级水平的课程和练习，可以帮助用户熟悉该工具的GUI，该GUI与任何类似工具都大不相同。

您是IDA Pro专业用户吗?没问题，也有相应的指南。

大声笑-Ghidra提供了可帮助从IDA转换用户的工具：pic.twitter.com/A649uIHmtj

-Silas Cutler(@silascutler)2019年3月6日

需要键盘快捷键备忘单吗?没问题，有一个在线托管，在这里。

不喜欢明亮的GUI?没问题，Ghidra的设置部分包含一个暗模式。

在本文发布之时(工具发布一个小时后)，信息安全(信息安全)社区的反应几乎完全是积极的，网络安全行业的一些知名人士对此进行了热烈的评论。

Ghidra出局了，我们有那些ARM proc模块，UNDO按钮和协作进行分析的功能……免费! https://t.co/CAkwg9WWcK pic.twitter.com/Lq6I9fXAYx

-Maddie Stone(@maddiestone)，2019年3月6日

好东西：

-反编译器真棒。

-反编译器支持您可以反汇编的任何内容。

-一切都完全集成。

-具有版本控制的多二进制项目。

-撤消!

-Joxean Koret(@matalaz)2019年3月6日

是的，我将开始将其用于所有新项目。到目前为止，看来它可以替代IDA中足够多的工作流，我可以切换了!

— Tavis Ormandy(@taviso)2019年3月6日

Ghidra可能不是大多数专家期望的IDA Pro杀手er，因为IDA Pro仍然提供了Ghidra中不存在的调试器组件，但是事情还在不断发展。

因为Ghidra的代码将是开源的，所以这也意味着它将对社区做出贡献，并且许多人希望它在未来的将来会收到调试器，并允许恶意软件分析人员迅速出手并停止为IDA许可证支付大笔费用。

即使该工具的源代码尚未在GitHub上发布，infosec社区也已开始为Ghidra做出贡献。

该工具发布仅几分钟后，总部位于英国的网络安全公司Hacker House的联合创始人兼董事Matthew Hickey报告了NSA工具中的第一个安全问题，该工具适当地运行了一个服务器组件，该组件侦听从服务器收到的命令。互联网。根据Hickey的说法，修复它应该是一站式更改，并且该问题仅在用户以其“调试模式”而不是其正常模式运行Ghidra时影响到用户。

Ghidra在侦听模式下打开侦听JDWP的端口18001，您可以使用它远程执行代码