Реверс-инжиниринг программного обеспечения является важной и зачастую кропотливой задачей, особенно при работе с бинарными файлами, в которых отсутствует символическая информация. Для специалистов по безопасности и инженеров крайне важно максимально упростить и автоматизировать процессы, позволяющие быстро определять функции в скомпилированных приложениях. Одним из эффективных инструментов, значительно облегчающих этот процесс, является функция генерации базы данных Function ID в Ghidra на платформе Windows. Функция идентификации Function ID в Ghidra заслуженно считается аналогом технологии FLIRT в IDA Pro — Fast Library Identification and Recognition Technology. Суть заключается в создании базы подписей функций, которые затем могут применяться к другим исполняемым файлам для автоматического распознавания и переименования функций.
Без этой возможности анализ работы с плохо документированными или статически скомпилированными библиотеками представлял бы собой чрезвычайно долгий и сложный процесс. При исследовании бинарных файлов зачастую встречаются ситуации, когда исходные символы и имена функций отсутствуют, что делает работу по анализу архитектуры кода трудоемкой. В таких случаях приходится полагаться на сбор фрагментов кода, сравнение его с исходниками, если они доступны, или детальный разбор каждой функции вручную. Все это требует значительных временных и интеллектуальных затрат. Часто в программных решениях используются сторонние библиотеки, будь то динамические (DLL на Windows, SO на Unix-подобных системах) или статические.
При динамическом связывании символы, как правило, доступны и легко интерпретируются. Однако при статической компиляции, особенно при агрессивном оптимизированном связывании, символическая информация может быть полностью удалена, и функции становятся неразличимыми по именам, что вызывает сложности в работе с ними. Одним из традиционных способов верификации и поиска соответствий является сопоставление исходного открытого кода с дизассемблированным или декомпилированным вариантом. Технически это возможно, если библиотека доступна в открытом доступе, однако даже при таком подходе проблемы возникают из-за оптимизаций компилятора, которые могут перемешивать порядок кода или изменять его структуру так, что идентифицировать функцию становится нелегко. Создание базы данных Function ID для Ghidra предоставляет иной путь решения проблемы.
Ghidra имеет встроенную функциональность для генерации сигнатур функций — уникальных подписей, которые формируются на основании различных атрибутов, включая хэш нормализованных байтов функции, информацию о размере, прототипах и других метаданных. После формирования таких подписей они сохраняются в специализированных базах данных, которые могут быть применены к последующему анализу других бинарных файлов. Для Linux-среды существуют несколько скриптов и комплексных руководств, помогающих в автоматизации процесса генерации таких баз. Особенно выделяется работа специалиста с ником @0x6d696368, предложившего качественные скрипты, позволяющие с минимальными трудозатратами создавать Function ID базы на основе статических библиотек. Однако на момент анализа одной из Windows-приложений, использующего OpenSSL, доступные инструменты рисовали лишь часть решения.
Разбор поставленной задачи показал необходимость скачать и собрать на целевой системе Windows статическую версию OpenSSL, совпадающую с версией, обнаруженной в анализируемом бинарном приложении. Для x64 платформы были собраны две библиотеки в формате .lib, каждая из которых представляла собой совокупность множества .obj файлов — отдельных компиляционных единиц. Для дальнейшего анализа потребовалось распаковать эти .
obj файлы из .lib архивов, импортировать их в проект Ghidra и затем автоматически сгенерировать сигнатуры из электронных образцов функций. Выполнение данных операций вручную занимало бы неоправданно много времени, поэтому была разработана дополнительная обвязка из PowerShell-скриптов, позволяющая полностью автоматизировать обработку. Используя скрипты, первый этап заключался в распаковке содержимого статической библиотеки с помощью команды 01Extract-LibContents.ps1, применяемой к файлу libssl_static.
lib. Этот процесс позволил получить все необходимые объектные файлы для импорта. Далее с помощью второго скрипта 02Import-Ghidra.ps1 были импортированы файлы .obj в специально подготовленный проект Ghidra, что обеспечило их автоматический анализ и подготовку к последующей обработке.
Это существенно сократило время на подготовительные манипуляции с файлами. Уже на финальном этапе применялся третий скрипт 03Generate-FIDB.ps1, предназначенный для генерации Function ID базы на основе импортированных данных. Таким образом, была сформирована обширная база функций, имеющих подписи, позволяющие повторно распознавать эти же функции в других бинарных файлах, существенно экономя время анализа. На практике результат применения данной методики оказался впечатляющим.
Пример одной из функций до использования базы показывал деоформленные имена вроде sub_12345678, что не давало четкого понимания о функциональном назначении. После же применения функции анализа Function ID с подключенной базой функций, названия заменились на понятные имена OpenSSL функций, а структура проекта в Ghidra обогатилась полноценным деревом символов. Это позволило аналитикам сосредоточиться на действительно важных аспектах, связанных с выявлением уязвимостей и исследованием ключевых участков кода. Таким образом, автоматизация генерации баз данных Function ID в Ghidra на платформе Windows является крайне мощным инструментом, который раскрывает потенциал более быстрого и точного реверс-инжиниринга. Особенно заметен выигрыш при работе с крупными, оптимизированными и статически слинкованными бинарниками, где отсутствует символическая информация и традиционные методы оказываются малоэффективными.
Помимо экономии времени, внедрение такого подхода поднимает качество исследования на новый уровень, позволяя сосредоточиться на выявлении критичных уязвимостей и углубленном анализе безопасности. Использование PowerShell-скриптов открывает широкие возможности по перенастройке и масштабированию процедуры под собственные требования исследователя. Наконец, для тех, кто заинтересован в внедрении подобного рабочего процесса, открытое GitHub-репозитории, доступное по ссылке https://github.com/mantrainfosec/SRE-FID_Generation_Windows, содержит все необходимые скрипты и инструкции. Этот ресурс значительно упрощает старт в области автоматизированного анализа и генерирования Function ID баз.
Глобально развитие подобных инструментов и методик свидетельствует о том, что будущее реверс-инжиниринга неразрывно связано с автоматизацией и интеллектуальными решениями, делающими исследовательские процессы более совершенными, эффективными и доступными даже при ограниченных ресурсах и времени.
