Ghidraのダウンロード、解凍とJavaのインストール、環境情報の設定が終わり、Ghidraが起動するようになりました。
ここから先は、公式のHPの動画を見たほうが早いのですが・・・まあ、メモしておきます。
何事も、最初の一歩はぎこちないものです。
エ○ァンゲリオンでも、シンジ君が始めて乗った初号機で一歩歩いたときには、「歩いた!」と感動していたものです。
まあ、敵を目の前にして、そのレベルで喜んでてこのあとどーすんだ、と思ってアニメを見ていましたがそれは言っちゃダメです。
あと、タイトルから「ガン○ムぢゃねーのかよ!」と言われそうですが、フリーダムなんですよ!
さて、起動してから検体を調査するためには、まず「Projrct」を作る必要があります。
初期画面のメニューのFile → New Project でダイアログが開きます。
「Non-Shared Project」か「Shared Project」を選択するようになっているので、「Non-Shared Project」を選択します。
他人とプロジェクトを共有する予定がある人は「Shared Project」でもいいかもしれませんが、今回は検証していません。
次に、プロジェクトを保存するディレクトリとプロジェクト名を設定します。
今回は、バンキングマルウェアのUrsnifの検体を使います。
どっからそんなアブねーもん拾ってきたんだと言われそうですが、そんなもんメールでじゃんじゃん飛んできますので、その中から手ごろなヤツをとっておくうっかり感染してそれを保存しておいたものです。感染したなら仕方ない、これは仕方ない。うっかり飛んできた不審メールに添付されていたファイルのマクロをOfficeMalScannerで抽出し、難読化解除して出てきたURLにアクセスしたらファイルが落ちてきたからとっておいただけとか、そんな感じのよくあるうっかりさんだ。
フォルダ、プロジェクト名を設定してFinishを押すと、プロジェクトの作成完了。
今度は、このプロジェクトに検体を読み込ませます。
プロジェクトのウィンドウのメニューのFile → Import File で表示されるダイアログで検体を選択します。
検体を選択して表示されるダイアログで情報を確認します。
また、右下のほうにあるOptionボタンを押します。
オプションを開くと、デフォルトでは恐らくLoad External Librariesのチェックが外れているため、これをチェックします。
このオプションにチェックがある場合、読み込むDLLも解析対象としてツリーに表示されるようになります。
解析が終わるとサマリが表示されるため、内容を確認したらOKを押します。
これで、プロジェクトに検体が読み込まれました。
次は、ツールの起動になります。