GHIDRA 用 Java 语言编写,适用于 Windows,Mac 和 Linux 系统。
近日有消息透露,美国国家安全局 NSA 将在 3 月初举行的 RSA 安全会议上免费发布一款逆向工程工具,该软件的名称是 GHIDRA。从技术角度讲,这是一款反汇编程序,能将可执行文件分解为汇编代码再由人类进行分析。
提起美国国家安全局,大部分人可能第一反应就是“永恒之蓝”,这款被 The Shadow Brokers 黑客组织曝光,由与其关系密切的方程式(Equation Group)黑客组织使用的网络武器,曾经给不少企业造成巨大损失。不过这次不是泄露,而是官方发布。
早在 2000 年初,美国国家安全局就开发了 GHIDRA。过去几年,GHIDRA 一直在与拥有网络团队的其他政府机构共享,以此了解恶意软件或可疑软件的内部运作方式。
GHIDRA 的存在从来都不是国家机密,但直到 2017 年 3 月,维基解密公布 Vault7,一个据称从 CIA 内部网络被盗文档文件集合。这些文件表明,中央情报局是使用该工具的机构之一,世界其他地方才了解到这些软件的存在和具体名称。
GHIDRA 介绍
根据文档描述,GHIDRA 采用 Java 编码,具有图形用户界面(GUI),适用于 Windows、Mac 和 Linux。GHIDRA 可以分析所有主要操作系统的二进制文件,例如 Windows、Mac、Linux、Android 和 iOS,模块化架构允许用户在需要额外功能时添加软件包。
根据 GHIDRA 在 RSA 会议介绍中的描述,该工具既拥有高端商业软件预期的所有功能,同样拥有美国国家安全局独特开发的新功能和扩展功能。美国政府工作人员曾表示,该工具众所周知且通常被防御性质较强的运营商用来分析网络上发现的恶意软件。
GHIDRA 与 IDA
一些知道并使用该工具的开发人员在社交媒体,比如 HackerNews、Reddit 和 Twitter 上表达自己的看法,并将 GHIDRA 与著名逆向工程工具 IDA 进行比较,但是 IDA 非常昂贵,许可证的价格大概为数千美元。
大多数用户表示 GHIDRA 比 IDA 更慢,功能更差。但是,通过开源,NSA 将受益于开源社区的免费维护,能够快速赶上并可能超过 IDA,毕竟 IDA 昂贵的价格也是技术人员不得不考虑的问题。
过去几年,美国国家安全局开源了各种工具,其中最成功的当属 Apache NiFi,这是一个自动化 Web 应用程序间大数据传输的项目,并且已成为云计算领域的最爱。
结语
总的来说,美国国家安全局迄今已开放 32 个项目作为其技术转让计划(TTP)的一部分,最近甚至开设了官方 GitHub 账户。GHIDRA 将于 3 月 5 日在 RSA 会议上进行演示,预计很快将在该机构的代码页和 GitHub 帐户上发布。
评论 2 条评论