是否可以执行一部分分解代码？

Question

我目前正在尝试解决逆向挑战，其中为32位Linux系统编辑了C代码。

为了解决这一挑战，我试图利用Ghidra，但面临一些问题。到目前为止，我所做的一切：

我有两个操作系统，我的笔记本电脑上有一个64位Linux系统和这款64位Windows 10。显然，该程序是用GCC编辑的，没有A -G选项，使Ghidra失败。调试程序。在终端中使用GDB手动调试它是可能的，但使用可怕（至少对我而言）。
因此，我所能做的就是查看Ghidra的CodeBrowser中的汇编代码及其各自的解开C代码。因此，我必须了解，在程序中运行时进行了一些说明，为了进一步分析代码，我希望能够执行指令的一部分以缓慢但肯定地解密并理解的隐藏部分程序。

话虽如此，这里唯一的问题是我不知道我该怎么做。我注意到Ghidra具有运行Java代码的能力，但是Ghidra提供的所有示例允许我仅将硬编码说明修补到程序中，但不能实际执行/评估它们。

我手头的具体问题是遵循程序的一部分（绿色标记部分）： 吉德拉（Ghidra）拥有执行此部分所需的所有知识，我只是不知道该怎么做。我可能是手工做的，但这只是无聊，而不是为什么我要做这些挑战的原因，这与为什么我不在寻找为我解开此程序的完成脚本而是为了执行该程序的方法我的分析。

最终总结了我的问题：我要求一种方法来执行Ghidra的绿色标记的解密部分，而无需启动调试器（因为Ghidra调试器使我失败了）。

Answer 1

我认为您在这里混合一些东西。你说：

该程序是用GCC编译的，没有-g选项，使Ghidra无法调试程序

使用-G -G添加的调试信息使分析和调试程序更容易，因为您拥有否则会有的信息通过逆向工程恢复。这应该不是 对您是否可以首先在调试器下运行该程序，并且正如您指出的那样，在终端工作中使用GDB运行它。 Ghidra调试器基本上只是在后台运行GDB并将其附加到交换信息，因此应该工作。

您现在有一些选择：

1。让Ghidra调试器使用此二进制运行的任何问题

与Ghidra Debugger遇到的任何问题可能是 https：// reverversEngineergingeringeringing的有效问题。 .stackexchange.com/

从那时起，您可以采取初步计划来通过调试来解决此问题。

2。写一个ghidrascript以重新实现解密

理解您正确识别为某种解密循环的基本思想。然后，您可以使用Ghidra的脚本选项之一[0]来编写一个简单的脚本来重新实现此解密，但将解密的值直接写入Ghidra存储器。
任何脚本语言显然都将包括基本的算术操作，例如+ -和xor and loops，Ghidra API提供了功能byte getByte（地址）和setByte（地址地址，字节值）。如果您在编写此脚本时遇到任何问题或API问题，这也将是Re stack Exchange的有效后续问题。
这种方法的优点是您可以 stat上再次分析Ghidra内部的数据，例如拆卸所得代码。

[0] Ghidra本地支持Python 2.7和基于Java的脚本和基本的Python替补，但是还有其他选项，例如基于jupyter和基于脚本的kotlin 或 ruby​​，kotlin和clojure脚本