2019年3月、アメリカのNSAが、リバースエンジニアリングのツール「Ghidra」を無償で公開しました。
無償のデバッガと言えば、最近ではx64dbg、Hex-raysがIDA Proの型落ちを「free for non-commercial use」かつ公式サポートはなし(だったはず)、少し古いものでOllyDbg、Windows限定ならWinDbgあたりが浮かぶでしょうか。
そして、NSAから新たに公開されたということで、これらのデバッガと比べてどうなのか、という検証をしてみたくなりました。
まあ、私の場合、使い慣れたIDA ProのNamed Licenseがあるんですけどね。(・ω・)
あと、利用目的はマルウェアの解析なんですが、動的解析ツールを使ったほうがはええとか、楽とか、ソウイウコトイワナイ。
最近は、アンチウィルス回避だけでなく、アンチフォレンジック、アンチサンドボックスなども大分出てきているので、そういうときに解析するのに必要、ということで。
導入・利用について書いていきますが、環境の違いもあったりで同じようにいく保障はありません。
また、同じようにしたらクラッシュした、といっても責任は負いかねるため、同様のことをする場合は自己責任でお願いします。
導入は簡単。GhidraのHPの「Download」ボタンを押すとzipでダウンロードされます。
これを解凍し、任意のフォルダに配置します。インストーラなどは特に不要。
また、基本的にjavaで作られているため、MacOSやLinuxでも動くようです(ただし、試してません)。
今回の検証環境は、以下のようにしています。
検証マシン:VM上のWindows 10 Home edition
VM環境:VMware Workstation 14 Pro
- プロセッサ:2
- メモリ:4GB
- HDD:100GB
- ネットワークアダプタ:NAT
VMのホストマシン:Windows 10 Pro
- プロセッサ:Intel Core(TM) i7-8700K 3.70 GHz
- メモリ:16GB
- HDD:Cドライブ-230GB、Dドライブ-2TB、VMイメージはDドライブに格納。
- ネットワーク:通常時は非接続(ツールダウンロード等以外では基本スタンドアロン)
マシンは専用を用意しています。理由は、マルウェアを解析している場合、何らかのミスでホストもやられてしまう可能性があります。
例えば、WannaCryのようなワームつきのマルウェアの場合、ホストとゲストがポート445で通信できたら、ホストもやられてしまいます。そういった事故があった場合でも、被害を局限できるようにしておくのは鉄則です。
また、別途OSを買う必要がありますが、VMの利用はおススメです。解析で環境がぐちゃぐちゃになっても、VMならすぐ戻せます。特に、スナップショット機能付きは重宝します。解析中の状況でも、重要なポイントでスナップショットを取っておくと、解析しなおしたい時に便利です。
こんな環境をご自宅で準備するとか、まあ他所から見れば変人以外の何者でもないでしょうなぁ・・・。
独身だからできるのだけれど、これはもう嫁のなり手は絶対に無理だとそっちは諦めていますwww