Использование Ghidra для реверс-инжиниринга приложений
Достаточно часто приходится иметь дело с реверсом приложений, особенно под iOS или нативных библиотек для Android. Есть много инструментов, как платных, так и "условно платных". Каждый использует то, что ему удобнее.
Одни из самых распространенных инструментов - IDA Pro, Hopper Disassembler, Ghidra. Именно о последнем инструменте идет речь в статье.
Ghidra - Open Source проект, с открытым исходным кодом, достаточно удобный и доступный под все платформы. Единственное, его нельзя скачать с российских ip-адресов, но я думаю мы все умеем пользоваться VPN 😁 На базе Ghidra построено достаточно много фреймворков, про один из которых, для анализа iOS kernelcache я когда-то писал.
Статья будет полезна скорее начинающим, никакого рокет-саенса нет, показано, как работать с APK файлами и нативными либами внутри и немного теории. В целом, достаточно неплохо для ознакомления.
#Disassembler #Ghidra
Достаточно часто приходится иметь дело с реверсом приложений, особенно под iOS или нативных библиотек для Android. Есть много инструментов, как платных, так и "условно платных". Каждый использует то, что ему удобнее.
Одни из самых распространенных инструментов - IDA Pro, Hopper Disassembler, Ghidra. Именно о последнем инструменте идет речь в статье.
Ghidra - Open Source проект, с открытым исходным кодом, достаточно удобный и доступный под все платформы. Единственное, его нельзя скачать с российских ip-адресов, но я думаю мы все умеем пользоваться VPN 😁 На базе Ghidra построено достаточно много фреймворков, про один из которых, для анализа iOS kernelcache я когда-то писал.
Статья будет полезна скорее начинающим, никакого рокет-саенса нет, показано, как работать с APK файлами и нативными либами внутри и немного теории. В целом, достаточно неплохо для ознакомления.
#Disassembler #Ghidra
Medium
How to use Ghidra to Reverse Engineer Mobile Application
Unveil the
Обход RASP (Runtime Application Security Protection)
Совсем недавно, на одной из конференций был сделан доклад под названием «Forging golden hammer against Android app protections».
Этот доклад посвящен проверкам различных инструментов защиты в рантайме, таким как шифрование кода приложения, поиск отладчика, Frida и многое-многое другое.
Доклад очень крутой! Есть видеозапись выступления и репозиторий со слайдами и скриптами (активно наполняется). Сейчас там скрипты для Ghidra, но предполагается что все остальное тож добавит, что есть в видео).
Я пока пролистал слайды и оставил видео на более подробный разбор, так как чувствую, там придется ещё по ходу пьесы гуглить :) но выглядит очень круто, особенно часть про Frida и способ хуков с многопоточностью и хуками на ещё не загруженные классы.
Всем хороших выходных!
#rasp #frida #ghidra #android
Совсем недавно, на одной из конференций был сделан доклад под названием «Forging golden hammer against Android app protections».
Этот доклад посвящен проверкам различных инструментов защиты в рантайме, таким как шифрование кода приложения, поиск отладчика, Frida и многое-многое другое.
Доклад очень крутой! Есть видеозапись выступления и репозиторий со слайдами и скриптами (активно наполняется). Сейчас там скрипты для Ghidra, но предполагается что все остальное тож добавит, что есть в видео).
Я пока пролистал слайды и оставил видео на более подробный разбор, так как чувствую, там придется ещё по ходу пьесы гуглить :) но выглядит очень круто, особенно часть про Frida и способ хуков с многопоточностью и хуками на ещё не загруженные классы.
Всем хороших выходных!
#rasp #frida #ghidra #android
YouTube
Forging Golden Hammer Against Android App Protections by Georges-Bastien Michel
Обход SSL Pinning для Flutter-приложений с использованием Ghidra
На волне участившихся вопросов про Flutter-приложения (привет, Stepn) и большого количества людей, кто начинает их реверсить и смотреть в трафик, не могу не поделиться статьёй про снятие пиннинга при помощи Ghidra.
Статья представляет из себя последовательность действий, что делал автор, как искал и что заменял в libflutter.so. Интересно почитать, как он прошел этот путь, чем руководствовался и что в итоге получилось. Как обычно бывает, достаточно много референсов на другие не менее интересные статьи.
Можно попробовать это повторить или попробовать скачать уже модифицированный файл и его заменить в анализируемом приложении.
#Flutter #Android #Ghidra #pinning
На волне участившихся вопросов про Flutter-приложения (привет, Stepn) и большого количества людей, кто начинает их реверсить и смотреть в трафик, не могу не поделиться статьёй про снятие пиннинга при помощи Ghidra.
Статья представляет из себя последовательность действий, что делал автор, как искал и что заменял в libflutter.so. Интересно почитать, как он прошел этот путь, чем руководствовался и что в итоге получилось. Как обычно бывает, достаточно много референсов на другие не менее интересные статьи.
Можно попробовать это повторить или попробовать скачать уже модифицированный файл и его заменить в анализируемом приложении.
#Flutter #Android #Ghidra #pinning
Stepn
STEPN is a Web3 lifestyle app with Social-Fi and Game-Fi elements
In STEPN, your steps are worth more than you think -- exercising and moving outdoors
can now earn anyone tokens anytime, anywhere. We believe this simple design can nudge millions into healthier
lifestyles and bring them to the Web3 world.
can now earn anyone tokens anytime, anywhere. We believe this simple design can nudge millions into healthier
lifestyles and bring them to the Web3 world.
Интеграция Ghidra и radare2
Недавно я несколько раз писал про интересный инструмент radare2. И его и так не бедную функциональность легко расширять различными плагинами. Или же наоборот, функционал других инструментов дополнять функционалом r2.
Например, одна из таких интересных интеграций может быть с не менее популярным инструментом Ghidra. Благодаря такой связке процесс реверса может стать чуточку проще.
Более подробно об этом плагине и примерах использования автор рассказал да r2con2019.
Удачного реверса
#reverse #radare2 #ghidra
Недавно я несколько раз писал про интересный инструмент radare2. И его и так не бедную функциональность легко расширять различными плагинами. Или же наоборот, функционал других инструментов дополнять функционалом r2.
Например, одна из таких интересных интеграций может быть с не менее популярным инструментом Ghidra. Благодаря такой связке процесс реверса может стать чуточку проще.
Более подробно об этом плагине и примерах использования автор рассказал да r2con2019.
Удачного реверса
#reverse #radare2 #ghidra
GitHub
GitHub - radareorg/radare2: UNIX-like reverse engineering framework and command-line toolset
UNIX-like reverse engineering framework and command-line toolset - radareorg/radare2
Deobfuscating Android ARM64 strings with Ghidra
Очень подробная и очень интересная статья про то, как можно автоматизировать процесс деобфускации строк в приложении с использованием Ghidra. Пример, конечно, надуманный, но общий смысл задает верно и на практике можно в подобных случаях воспользоваться идеей.
Но намного более интересно, это подробное описание взаимодействия с Ghidra, как использовать, как отлаживать, как автоматизировать через Python.
Очень советую тем, кто работает с этим инструментом или планирует изучать.
#android #ghidra #reverse
Очень подробная и очень интересная статья про то, как можно автоматизировать процесс деобфускации строк в приложении с использованием Ghidra. Пример, конечно, надуманный, но общий смысл задает верно и на практике можно в подобных случаях воспользоваться идеей.
Но намного более интересно, это подробное описание взаимодействия с Ghidra, как использовать, как отлаживать, как автоматизировать через Python.
Очень советую тем, кто работает с этим инструментом или планирует изучать.
#android #ghidra #reverse
NVISO Labs
Deobfuscating Android ARM64 strings with Ghidra: Emulating, Patching, and Automating
In a recent engagement I had to deal with some custom encrypted strings inside an Android ARM64 app. I had a lot of fun reversing the app and in the process I learned a few cool new techniques whic…