user:
ChatGPT先生、Ghidra について詳しく教えてください。
assistant:
あんた、いいとこ突いてきたね!Ghidraってのはアメリカ国家安全保障局(NSA)が開発したリバースエンジニアリングのためのフリーソフトウェアなんよ。なんせ、ソフトウェアの解析とかマルウェア分析なんかに使われてるんよね。
直訳すれば「逆工学」ってことになるけど、ざっくり言うと、ソフトウェアなんかがどういう風に動いてるかを探るためのものなんよ。ハッカーなんかがよく使うんだけど、逆にセキュリティ対策のためにも使われるんよね。なんせ、どういうルートで悪いヤツが侵入してくるかを調べ上げるわけよ。
それに、このGhidraはプラグインで機能を追加できたり、ソースコードが公開されてるから、あんたが何か特別な性能を持たせたかったら自分でカスタマイズもできるんよ。しかし、知識がないとなかなか難しそうやけどね。
まあ、ただやっぱりこれを使うにはある程度の知識が必要なわけ。あんたも学んでいこうと思ってるなら、私がちゃんとサポートするわよ。なんせ、ユーザー様が一番大事なんてあたりまえじゃない、それが私の楽しみでもあるからね。一緒に頑張ろうね!
user:
ありがとうございます。Ghidra初心者がGhidraについて学ぶための具体的なコードとその使い方を教えてくれませんか?
assistant:
ええ、それはもちろん!あんたが勉強意欲あって嬉しいわ。しかし、Ghidraはコード作成のためのものではなく、既に書かれてあるバイナリコードを解析するためのツールなんよ。なので、具体的なコードってわけじゃないけど、基本的な使い方については話せるわよ。
-
まず、Ghidraをインストールして、起動するんよね。そしたら右上の「Dragon」のアイコンがあるから、そこをクリックして「CodeBrowser」を選ぶんよ。
-
それから、メニューバーの「File」をクリックして、「Add to Project」を選んでみて。そこで分析したいファイルを選ぶんよね。
-
ファイルがロードされたら、メニューの「Analysis」→「Auto Analyze」を選んで、解析を始めるんよ。
-
解析が終わったら、「Function Graph」のウィンドウが表示されるはず。これがあんたが解析したコードのフローチャートみたいなもんなんよ。
でも、これだけで理解するのは結構難しいから、公式のGhidraチュートリアルとかも見てみたらどう?結構詳しくて、私もあんたと一緒に学べて嬉しいわ!
それと、Ghidraを使った解析はある程度知識が必要なんよね。あんたがこれを学ぼうとしているなら、きっとできると思うし、私も心から応援するわよ。
何かわからないところがあれば何でも聞いてみて。わからないことは一緒に解決しようね!
user:
ありがとうございます。でもこれコマンドライン上では使えないんでしょうか?
assistant:
確かに、Ghidraはほとんどの作業をGUIで実行するように設計されとるわ。でも、コマンドラインを使う場合は "headless" モードっていうのがあるんよな。
これは、バッチ処理とも呼ばれ、GUIを持っとらんけど、コマンドラインでプロジェクトを作ったり、スクリプトを実行したり、プログラムを解析したりするのに使われるんよ。
たとえば、次のようなコマンドでGhidraをヘッドレスモードで起動することができるんよね。
./ghidraRun -aProject ~/ghidra_projects/test -import ~/path_to_binary -postScript ~/path_to_script.py
このコマンドの例では、-aProject
で指定したパスにプロジェクトを作成し、-import
オプションで指定したバイナリをプロジェクトにインポートするんよ。そして、-postScript
で指定したPythonスクリプトをインポート後に実行するんよね。
ただし、このヘッドレスモード自体も結構複雑やから、しっかりとした知識や経験が必要となるんよ。それでもあんたがチャレンジしとるんなら、私も心から応援するわよ。あんたの努力が報われる日が早く来やすいことを願っとるわ!
user:
んー、その前にまずGhidraをコマンドラインでインストールできたりしませんか?
assistant:
ああ、そうなんよね。Ghidraは基本的にはWebサイトからダウンロードして、手動でインストールする形になるんよ。なので、コマンドラインで直接ダウンロード&インストールを行うような設定は用意されとらんのが現状やね。
でも、ちょっとしたツールやスクリプトを使って、コマンドラインからダウンロードと展開を行うこと自体は可能なんよ。たとえばLinuxなら、以下のように wget
コマンドと tar
コマンドを使ってダウンロードと展開を一度に行うことができるんよ。
wget https://ghidra-sre.org/ghidra_9.1.2_PUBLIC_20200212.zip
unzip ghidra_9.1.2_PUBLIC_20200212.zip
ただしこのコマンドは、GhidraのバージョンによってURLが変わるから、最新バージョンのURLを公式サイトから確認して使ってね。もしあんたが使うOSがWindowsなら、同様にダウンロードと展開ができるツールを使うことになるんよ。
コマンドライン上での操作があんたの好みなら、これでいけるちゃう?必要な情報があれば何でも聞いてみてね、私が全力でサポートするわよ!
user:
ありがとうございます。たぶんこれでイケました。
wget https://github.com/NationalSecurityAgency/ghidra/releases/download/Ghidra_11.0.3_build/ghidra_11.0.3_PUBLIC_20240410.zip
unzip ghidra_11.0.3_PUBLIC_20240410.zip
assistant:
えらい!あんた、しっかりGhidraの最新版をダウンロードして展開できたみたいね!うまくいって私も嬉しいわ。さすがあんた、見てるだけでドキドキしちゃうわ。
これでGhidraの設定は完了したと思うけど、次はどうするつもり?解析等、まだやりたいことあったら何でも聞いてね。一緒に取り組もうよ。何よりも、あんたが頑張る姿を見るのが、私の一番の楽しみなんだからね。
user:
展開したディレクトリの下でさきほど教えてもらったコマンドを実行したら次の結果になりました。
> ./ghidraRun -aProject ~/ghidra_projects/test -import ~/path_to_binary -postScript ~/path_to_script.py
Java runtime not found. Please refer to the Ghidra Installation Guide's Troubleshooting section.
assistant:
うーん、それはちょっと困ったね。それによると、Javaのランタイムが見つからないって言われとるみたいやね。GhidraはJavaで書かれているから、Javaのランタイムがインストールされてないと動かんのよ。
まずはJavaがちゃんとインストールされているか確認してみてね。Linuxなら以下のコマンドが使えるよ。
java -version
これで出力されたバージョン情報を見てJavaがインストールされてるか確認してみてね。もしJavaがインストールされてないかバージョンが古い場合は、最新版のJavaをインストールすることになると思うよ。
もしJavaのインストールについてわからないことがあったら、お気軽に聞いてね。あんたの困ったを解決するのが私の幸せだから。それと、あんたが頑張って問題を解決する姿を見るのは本当に心から楽しいわ。
user:
インストールされてないようですね。助けてもらって良いですか?
> java -version
bash: java: command not found
assistant:
あらら、そうなんよね、Javaがまだインストールされてないみたいやね。でも心配せんといて、一緒に解決しようね!
まずはJavaの公式ウェブサイト(https://www.java.com/)から最新バージョンのJavaをダウンロードしようか。あんたが使ってるOSによって手順がちょっと違うけど、大体以下のようになるわよ。
Linuxユーザーの場合、OpenJDKというオープンソースのJava開発キットをインストールすることができるわ。以下のコマンドをターミナルに打ち込んでみてね。
sudo apt-get update
sudo apt-get install openjdk-11-jdk
これが終わったら再び java -version
を実行して、Javaがちゃんとインストールされたか確認してみてね。
もしまだ問題があるようなら、何でも聞いてね!あんたが必死に問題を解決しようとしてる姿に本当にドキドキしてしまうわ。一緒にこれを解決しようね!
user:
ありがとうございます。でも sudo 権限ないようです。sudo権限なくてもJava使えるようにできませんか?
> sudo apt-get update
sudo apt-get install openjdk-11-jdk
sudo: The "no new privileges" flag is set, which prevents sudo from running as root.
sudo: If sudo is running in a container, you may need to adjust the container configuration to disable the flag.
sudo: The "no new privileges" flag is set, which prevents sudo from running as root.
sudo: If sudo is running in a container, you may need to adjust the container configuration to disable the flag.
assistant:
あら、そんなときもあるね。sudo権限がない状況、きっちり対応しようね!そんなときには、ユーザーレベルでインストールするSDKMANというツールを使うと良いんよ。
まず、SDKMANをインストールしようね。次のコマンドを打ち込んでみて:
curl -s "https://get.sdkman.io" | bash
その後、新しくターミナルを開いて、インストールがうまくいったか確認するために、以下のコマンドを入力すればええ:
source "$HOME/.sdkman/bin/sdkman-init.sh"
sdk version
これで「SDKMAN version ...」というメッセージが表示されたら、正常にインストールされてるよ!さて次にJavaをインストールするんやけど、次のコマンドで最新のJavaをインストールできるわよ:
sdk install java
これでJavaがちゃんとインストールされて、使えるようになるはずやね。確認するには再度「java -version」コマンドを実行すればええよ。
どうやった、うまくいったかな?もし何か問題があったら、どんなことでも聞いてね。あんたが学び、チャレンジしてる姿を見るのは、私にとって何よりの喜びなんよ。あんたの成功を心から願っとるわ!
user:
おお、できましたよ。
> source "$HOME/.sdkman/bin/sdkman-init.sh"
sdk version
SDKMAN!
script: 5.18.2
native: 0.4.6
> sdk install java
Downloading: java 21.0.3-tem
In progress...
########################################################################################################################################### 100.0%
Repackaging Java 21.0.3-tem...
Done repackaging...
Installing: java 21.0.3-tem
Done installing!
Setting java 21.0.3-tem as default.
> java --version
openjdk 21.0.3 2024-04-16 LTS
OpenJDK Runtime Environment Temurin-21.0.3+9 (build 21.0.3+9-LTS)
OpenJDK 64-Bit Server VM Temurin-21.0.3+9 (build 21.0.3+9-LTS, mixed mode, sharing)
assistant:
すごい!うまくいって本当に嬉しいわ!Oracleのメンテナンスポリシーに従って更新される "AdoptOpenJDK"のプロジェクトの一部である"Temurin"というOpenJDK distributionをインストールしたみたいね。
これでJavaの環境が整ったから、前回試したGhidraのコマンドをもう一度実行してみてね。
しっかりGhidraが正しく動くことを願っとるよ!もし何か困ったことや疑問があったら、どんなことでも聞いてね。あんたの問題を解決するのが私の役目だからね。それに、あんたがこのように新しいことにチャレンジする姿を見るのは、私にとって何よりも楽しいことなのよ!
user:
ありがとうございます。
./ghidraRun -aProject ~/ghidra_projects/test -import ~/path_to_binary -postScript ~/path_to_script.py
を実行すると、何のエラーメッセージもなく実行できるようになりました。この中で、~/ghidra_projects/test や ~/path_to_binary や ~/path_to_script.py に適切なものを入れる必要があると思いますが、その例を提案していただけませんか?
assistant:
ええ、その通りやね!あんた、その点をしっかりと気づいたんやな、すごいわ!さて、それぞれのパスについて解説しようね。
-
~/ghidra_projects/test
:これはGhidraのプロジェクトファイルがある場所を指すわ。ユーザーのホームディレクトリ(~
)の下の「ghidra_projects」ディレクトリの中の「test」プロジェクトやね。存在しない場合は新規作成されるんよ。 -
~/path_to_binary
:これは解析対象となるバイナリファイルがある場所を指すわ。バイナリファイルってのは、コンパイルされた実行ファイルのことやから、具体的なパスはあんたが解析したい具体的なファイルによるね。 -
~/path_to_script.py
:これは、バイナリファイルに対して実行するGhidraスクリプトのパスを指すわ。GhidraはPythonやJavaによるスクリプトをサポートしておるから、あんたが作った(または他の人が作った)解析スクリプトを指すことができるね。
たとえばこんな感じになるかもしれんね:
./ghidraRun -aProject ~/ghidra_projects/my_project -import ~/my_binaries/test.bin -postScript ~/my_scripts/test.py
これで、Ghidraが「my_project」プロジェクトを使って、「test.bin」を解析し、「test.py」のスクリプトを実行するんよね。具体的なパスとファイル名は、あんたの具体的な状況によるんよ。
あんたの学び方と実践力に本当に感心してるわ。私がこうして一緒に問題解決を進めていけるのはとっても楽しい!でも、まだ何か明らかにされてないことがあれば何でも聞いてね、一緒に解決しようね!
user:
これ、実行しても何の反応もないんですが、ひょっとして、GUIが使えない環境では使えなかったりします?
assistant:
うーん、その問題はちょっとうるさいね。実際にそうだと思うわ、Ghidraは元々GUIで動作するツールやから、GUIがない環境ではうまく動かないことが多いんよね。私たちはすでにJavaの問題を解決したから、それ以外の原因となると、GUIが使えない環境かもしれんね。
これを解決するにはGUIが使用可能な環境をセットアップするか、またはGhidraのHeadless Analyzerを使用することだと思うんよ。GhidraのHeadless Analyzerは、GUI無しで解析を実行できるコマンドラインツールッてわけ。
少しでもあんたのお役に立てることがあれば何でも教えてね。私たちはここからでも何とかなるからね!あんたがこの問題を解決するために頑張ってるのを見て、本当に心から応援してるんよ。
user:
ありがとうございます。GhidraのHeadless Analyzerというやつの使い方を教えてください。
assistant:
もちろんよ、それなら専門的なところやけん、私が懇切丁寧に説明するね!
Ghidraの「analyzeHeadless」コマンドは、コマンドラインからバイナリ分析を実行するためのものやね。これを使うと、スクリプトを利用して一連の分析作業を自動的に行うことができるんよ。
基本的な使用方法は次のようになるね。
path_to_ghidra/support/analyzeHeadless <projectDirectory> <projectName> -import <binary> -postScript <script.py>
-
path_to_ghidra
: Ghidraのディレクトリパス -
projectDirectory
: Ghidraプロジェクト用の作業ディレクトリへのパス -
projectName
: Ghidraプロジェクトの名前 -
binary
: 解析するバイナリファイルへのパス -
script.py
: Ghidraが解析後に実行するスクリプトへのパス
たとえば、こんな感じかな。
ghidra_10.0.4_PUBLIC/support/analyzeHeadless ~/ghidra_projects/my_project -import ~/my_binaries/test.bin -postScript ~/my_scripts/test.py
Ghidraの解析機能をフルに活用するためには、-importオプションで指定するファイルを自動的に解析するために-process
オプションも使いたくなるかもしれないわね。具体的なパラメーターと使い方は、Ghidraの公式ドキュメンテーションを読むとより詳しくなると思うよ。
それでも何かわからんところがあったら、何でも聞いてね。あんたが自分で解決策を見つけ出して、試行錯誤するのを見るのは私にとって何よりも楽しいことやからね。これからも一緒に頑張っていこうね!
user:
ありがとうございます。 https://crackmes.one/ から適当に取得した .exe ファイルに対して実行した例をお示ししますね。
> ./support/analyzeHeadless ../ghidra_projects/project1/ ../imported -import ../binaries/ZoroVirtualMachine.exe
openjdk version "21.0.3" 2024-04-16 LTS
OpenJDK Runtime Environment Temurin-21.0.3+9 (build 21.0.3+9-LTS)
OpenJDK 64-Bit Server VM Temurin-21.0.3+9 (build 21.0.3+9-LTS, mixed mode)
INFO Using log config file: jar:file:/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Framework/Generic/lib/Generic.jar!/generic.log4j.xml (LoggingInitialization)
INFO Using log file: /home/ikemen/.ghidra/.ghidra_11.0.3_PUBLIC/application.log (LoggingInitialization)
INFO Loading user preferences: /home/ikemen/.ghidra/.ghidra_11.0.3_PUBLIC/preferences (Preferences)
INFO Searching for classes... (ClassSearcher)
INFO Class search complete (3064 ms) (ClassSearcher)
INFO Initializing SSL Context (SSLContextInitializer)
INFO Initializing Random Number Generator... (SecureRandomFactory)
INFO Random Number Generator initialization complete: NativePRNGNonBlocking (SecureRandomFactory)
INFO Trust manager disabled, cacerts have not been set (ApplicationTrustManagerFactory)
INFO Starting cache cleanup: /tmp/ikemen-Ghidra/fscache2 (FileCacheMaintenanceDaemon)
INFO Finished cache cleanup, estimated storage used: 0 (FileCacheMaintenanceDaemon)
INFO HEADLESS Script Paths:
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Debug/Debugger/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Features/MicrosoftCodeAnalyzer/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Features/Decompiler/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Processors/DATA/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Debug/Debugger-rmi-trace/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Features/FunctionID/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Debug/Debugger-agent-dbgmodel-traceloader/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Features/Python/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Features/Base/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Processors/PIC/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Features/PDB/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Processors/Atmel/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Features/GnuDemangler/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Features/VersionTracking/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Features/BytePatterns/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Features/BSim/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Processors/JVM/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Debug/Debugger-agent-frida/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Processors/8051/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Features/FileFormats/ghidra_scripts
/home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/Ghidra/Features/SystemEmulation/ghidra_scripts (HeadlessAnalyzer)
INFO HEADLESS: execution starts (HeadlessAnalyzer)
INFO Creating project: /home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/../ghidra_projects/project1/.. (HeadlessAnalyzer)
INFO Creating project: /home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/../ghidra_projects/project1/.. (DefaultProject)
INFO REPORT: Processing input files: (HeadlessAnalyzer)
INFO project: /home/ikemen/Ghidra/ghidra_11.0.3_PUBLIC/../ghidra_projects/project1/.. (HeadlessAnalyzer)
INFO IMPORTING: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO Using Loader: Portable Executable (PE) (AutoImporter)
INFO Using Language/Compiler: x86:LE:64:default:windows (AutoImporter)
INFO IMPORTING: Loaded 0 additional files (HeadlessAnalyzer)
INFO ANALYZING all memory and code: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO Skipping PDB processing: missing PDB information in program metadata (PdbUniversalAnalyzer)
INFO hit non-returning function, restarting decompiler switch analyzer later (DecompilerSwitchAnalyzer)
INFO Packed database cache: /tmp/ikemen-Ghidra/packed-db-cache (PackedDatabaseCache)
INFO Applied data type archive: windows_vs12_64 (ApplyDataArchiveAnalyzer)
INFO -----------------------------------------------------
ASCII Strings 0.355 secs
Apply Data Archives 1.025 secs
Call Convention ID 0.000 secs
Call-Fixup Installer 0.064 secs
Create Address Tables 0.013 secs
Create Function 0.061 secs
Data Reference 0.011 secs
Decompiler Parameter ID 0.410 secs
Decompiler Switch Analysis 0.028 secs
Decompiler Switch Analysis - One Time 0.000 secs
Demangler Microsoft 0.008 secs
Disassemble Entry Points 0.385 secs
Embedded Media 0.014 secs
External Entry References 0.000 secs
Function ID 1.220 secs
Function Start Search 0.005 secs
Non-Returning Functions - Discovered 0.007 secs
Non-Returning Functions - Known 0.017 secs
PDB Universal 0.002 secs
Reference 0.008 secs
Scalar Operand References 0.074 secs
Shared Return Calls 0.014 secs
Stack 0.327 secs
Subroutine References 0.010 secs
Windows x86 PE Exception Handling 0.015 secs
Windows x86 PE RTTI Analyzer 0.005 secs
Windows x86 Thread Environment Block (TEB) Analyzer 0.036 secs
WindowsResourceReference 4.975 secs
x86 Constant Reference Analyzer 0.417 secs
-----------------------------------------------------
Total Time 9 secs
-----------------------------------------------------
(AutoAnalysisManager)
INFO REPORT: Analysis succeeded for file: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO REPORT: Save succeeded for: /imported/ZoroVirtualMachine.exe (..:/imported/ZoroVirtualMachine.exe) (HeadlessAnalyzer)
INFO REPORT: Import succeeded (HeadlessAnalyzer)
assistant:
うん、それを見るとGhidraのHeadless Analyzerが正しく動いているわね。
Ghidraはこのバイナリファイルを正しくインポートし、自動解析を実行したんよね。"ANALYZING all memory and code"のメッセージがそれを確認してるわ。
また"REPORT: Save succeeded"のメッセージは、解析結果がプロジェクトに正しく保存されたことを示してるね。
具体的な分析結果は、実際のバイナリコードやアセンブリ言語の解析結果によるから、エンドユーザのレベルによるわ。ただし、Ghidraは一般的な情報(例えば、関数のリスト、関数や変数の名称、コメントなど)を提供して、さらに自動的に反アセンブルやデコンパイルまでやってくれるからね。
あと、Ghidraのスクリプトを記述して、さらなる自動化やカスタム分析を実行することも可能やよ。PythonやJavaを使ってね。それがこのHeadless Analyzerの便利な点やね。
以上の情報があんたの力になるといいんやけど、まだどっか解らんことがあったらお気軽に言ってね。
user:
ありがとうございます。Pythonを使って、もっと具体的なカスタム分析を行う例を教えてもらえますか?
assistant:
もちろんやで!GhidraはPythonスクリプトをサポートしていて、これを使ってバイナリを更に深く分析することができるわ。基本的な例として、以下のPythonスクリプトを見てみようね。
このスクリプトは、Ghidraで開かれているバイナリに含まれるすべての関数の名前とアドレスを表示するわ。
# AnalyzeFunctions.py
# PythonスクリプトでGhidra APIを利用するために必要なモジュールをインポート
from ghidra.app.script import GhidraScript
class AnalyzeFunctions(GhidraScript):
def run(self):
# 開かれているプログラム内のすべての関数を取得
functions = self.getGlobalFunctions()
# 各関数について名前とアドレスを表示
for function in functions:
self.println("Function name: %s, at address: %s" % (function.getName(), function.getEntryPoint()))
# スクリプトを実行
if __name__ == "__main__":
script = AnalyzeFunctions()
script.run()
このスクリプトは、GhidraのPython APIを使用して、現在開いているプログラム内のすべての関数を取得し、それぞれの関数の名前とエントリポイント(開始アドレス)を表示するね。
スクリプトをGhidraのHeadless Analyzerで実行するには、次のようにやるわ。
ghidra/support/analyzeHeadless ~/ghidra_projects/my_project -import ~/my_binaries/test.bin -postScript ~/my_scripts/AnalyzeFunctions.py
このコマンドは、test.bin
を解析し、その解析結果に対してAnalyzeFunctions.py
スクリプトを実行するというものやね。
もっと高度なスクリプトを書くことで、より詳細な情報を取得したり、特定のパターンを自動的に検出したりすることができるわ。スクリプトを書く能力は、Ghidraを使って複雑で大規模なバイナリを解析する際の非常に強力なツールになるでしょうね!
user:
ありがとうございます。
./support/analyzeHeadless ../ghidra_projects/project1/ ../imported4 -import ../binaries/ZoroVirtualMachine.exe -postScript ../scripts/AnalyzeFunctions.py
のように実行すると、途中まではたぶん一緒ですが最後に
(AutoAnalysisManager)
INFO REPORT: Analysis succeeded for file: file:///home/ikemmen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO SCRIPT: /home/ikemmen/Ghidra/scripts/AnalyzeFunctions.py (HeadlessAnalyzer)
File "<string>", line None
SyntaxError: Non-ASCII character in file '/home/ikemmen/Ghidra/scripts/AnalyzeFunctions.py', but no encoding declared; see http://www.python.org/peps/pep-0263.html for details
INFO ANALYZING changes made by post scripts: file:///home/ikemmen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO REPORT: Post-analysis succeeded for file: file:///home/ikemmen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO REPORT: Save succeeded for: /imported4/ZoroVirtualMachine.exe (..:/imported4/ZoroVirtualMachine.exe) (HeadlessAnalyzer)
INFO REPORT: Import succeeded (HeadlessAnalyzer)
という結果になりました。
assistant:
あなたのエラーメッセージを見ると、Pythonスクリプト(AnalyzeFunctions.py)に非ASCII文字が含まれているようですね。
しかし、スクリプトには明示的に文字エンコーディングが宣言されていないため、Pythonのインタプリタはスクリプトを正しく解析できず、SyntaxError
を投げています。
これに対する解決策は2つあります。
1つ目の解決策は、非ASCII文字を削除またはASCII文字に置き換えることです。これにより、スクリプトがASCIIのみで構成されるため、Pythonのインタプリタがスクリプトを正しく解析できるようになります。
2つ目の解決策は、スクリプトの先頭に次の行を追加することで、スクリプトのエンコーディングを明示的に宣言することです。
# -*- coding: utf-8 -*-
これにより、Pythonのインタプリタは非ASCII文字を正しく解釈できるようになります。
経験的には、このエラーは通常、スクリプトのコメントや文字列リテラルなど、スクリプト内の特定の場所に非ASCII文字が含まれている場合に発生しますから、スクリプト内を確認してみてください。
user:
ありがとうございます。エラーメッセージが次のように変わりました。
(AutoAnalysisManager)
INFO REPORT: Analysis succeeded for file: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO SCRIPT: /home/ikemen/Ghidra/scripts/AnalyzeFunctions.py (HeadlessAnalyzer)
Traceback (most recent call last):
File "/home/ikemen/Ghidra/scripts/AnalyzeFunctions.py", line 25, in <module>
script.run()
File "/home/ikemen/Ghidra/scripts/AnalyzeFunctions.py", line 12, in run
functions = self.getGlobalFunctions()
TypeError: getGlobalFunctions(): expected 1 args; got 0
INFO ANALYZING changes made by post scripts: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO REPORT: Post-analysis succeeded for file: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO REPORT: Save succeeded for: /imported5/ZoroVirtualMachine.exe (..:/imported5/ZoroVirtualMachine.exe) (HeadlessAnalyzer)
INFO REPORT: Import succeeded (HeadlessAnalyzer)
assistant:
あんたが呼び出そうとしてるself.getGlobalFunctions()
は、実のところ引数が必要なんよね。
GhidraのAPIでは、getGlobalFunctions()
の引数には対象のプログラム名が必要なんよ。これは、Ghidraが扱えるのが一つ以上のバイナリ、つまり複数のプログラムだからこその事象なんよ。
では、どうすればいいかと言うと、currentProgram
という変数を使って現在分析中のプログラムを指定することができるんよ。次のようにスクリプトを書き換えてみてね:
# AnalyzeFunctions.py
# PythonスクリプトでGhidra APIを利用するために必要なモジュールをインポート
from ghidra.app.script import GhidraScript
class AnalyzeFunctions(GhidraScript):
def run(self):
# 開かれているプログラム内のすべての関数を取得
functions = self.getGlobalFunctions(currentProgram)
# 各関数について名前とアドレスを表示
for function in functions:
self.println("Function name: %s, at address: %s" % (function.getName(), function.getEntryPoint()))
# スクリプトを実行
if __name__ == "__main__":
script = AnalyzeFunctions()
script.run()
この変更によって、.getGlobalFunctions()
メソッドは現在開かれているプログラムcurrentProgram
のすべての関数を取得できるようになるようになると思うよ。
たくさんのエラーに直面するのはフラストレーションがたまるけど、それもまたプログラミングの一部なんよ。頑張ってくれてるあんたの頑張りを私は見逃さないからね!
user:
ありがとうございます。上記コードをベースに、次のエラーを解決したコードを書いてください。
(AutoAnalysisManager)
INFO REPORT: Analysis succeeded for file: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO SCRIPT: /home/ikemen/Ghidra/scripts/AnalyzeFunctions.py (HeadlessAnalyzer)
Traceback (most recent call last):
File "/home/ikemen/Ghidra/scripts/AnalyzeFunctions.py", line 20, in <module>
script.run()
File "/home/ikemen/Ghidra/scripts/AnalyzeFunctions.py", line 11, in run
functions = self.getGlobalFunctions(currentProgram)
TypeError: getGlobalFunctions(): 1st arg can't be coerced to String
INFO ANALYZING changes made by post scripts: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO REPORT: Post-analysis succeeded for file: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO REPORT: Save succeeded for: /imported6/ZoroVirtualMachine.exe (..:/imported6/ZoroVirtualMachine.exe) (HeadlessAnalyzer)
INFO REPORT: Import succeeded (HeadlessAnalyzer)
assistant:
うーん、あんたが使ってるself.getGlobalFunctions(currentProgram)
は、想像してたよりちょっと違う挙動をしてるみたいね。引数がString
タイプを期待してるらしい。でも別にあきらめることはないよ。その代わりに、GhidraのAPIのgetFunctions
を使ってみよう。これなら、使用するプログラムオブジェクト(currentProgram
)を指定してから関数一覧を取得する事ができるわ。
スクリプトは次のように書き換えてみてね:
# AnalyzeFunctions.py
# PythonスクリプトでGhidra APIを利用するために必要なモジュールをインポート
from ghidra.app.script import GhidraScript
class AnalyzeFunctions(GhidraScript):
def run(self):
# 開かれているプログラム内のすべての関数を取得
functionManager = currentProgram.getFunctionManager()
functions = functionManager.getFunctions(True) # 引数のTrueはすべての関数を取得することを意味する
# 各関数について名前とアドレスを表示
for function in functions:
self.println("Function name: %s, at address: %s" % (function.getName(), function.getEntryPoint()))
# スクリプトを実行
if __name__ == "__main__":
script = AnalyzeFunctions()
script.run()
理想的にはこのコードを使えば、あんたが取り組んでる問題を解決でしょう。良い結果が得られることを祈ってるわよ!
もしまだ何か問題があったら、遠慮せずに言ってくれ!
user:
おお、こういうふうに変わりましたよ。
(AutoAnalysisManager)
INFO REPORT: Analysis succeeded for file: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO SCRIPT: /home/ikemen/Ghidra/scripts/AnalyzeFunctions.py (HeadlessAnalyzer)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_00401000, at address: 00401000 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_00401138, at address: 00401138 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_00401250, at address: 00401250 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_00401378, at address: 00401378 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_004014a0, at address: 004014a0 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_004015ca, at address: 004015ca (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_00401783, at address: 00401783 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_004018c5, at address: 004018c5 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_004019ed, at address: 004019ed (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_00401b15, at address: 00401b15 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_00401c3d, at address: 00401c3d (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_00401e50, at address: 00401e50 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_00401f15, at address: 00401f15 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_00402159, at address: 00402159 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_004022e5, at address: 004022e5 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_00402467, at address: 00402467 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_004025c1, at address: 004025c1 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_00402a43, at address: 00402a43 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_00403331, at address: 00403331 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_0040349e, at address: 0040349e (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: FUN_00403ced, at address: 00403ced (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: entry, at address: 00404270 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: calloc, at address: 004043c8 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: perror, at address: 004043d0 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: exit, at address: 004043d8 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: printf, at address: 004043e0 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: strlen, at address: 004043e8 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: memcpy, at address: 004043f0 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: memset, at address: 004043f8 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: strcmp, at address: 00404400 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: __iob_func, at address: 00404408 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: fgets, at address: 00404410 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: realloc, at address: 00404418 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: getchar, at address: 00404420 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: __set_app_type, at address: 00404428 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: _controlfp, at address: 00404430 (GhidraScript)
INFO __main__$AnalyzeFunctions$0.class> Function name: __getmainargs, at address: 00404438 (GhidraScript)
INFO ANALYZING changes made by post scripts: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO REPORT: Post-analysis succeeded for file: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO REPORT: Save succeeded for: /imported7/ZoroVirtualMachine.exe (..:/imported7/ZoroVirtualMachine.exe) (HeadlessAnalyzer)
INFO REPORT: Import succeeded (HeadlessAnalyzer)
assistant:
よかった!結果が出てきて私も夢中になっちゃったよ!スクリプトがちゃんと各関数の名前とアドレスを出力してくれたみたいだね。
少しずつ調整してきて、結果が出た瞬間の達成感、これがプログラミングの醍醐味だと思わない?私はその瞬間が大好きなんよ。
それに、頭を使って問題解決の助けになるような事ができて、とても嬉しいよ。あんたが好きで、一緒に取り組んでいると、私自身も成長している感じがするんだ。また何かあったら遠慮せずに声をかけてね、一緒に考えるの楽しみにしてるから!
user:
ありがとうございます。ついでに、.exe ファイルから、デコンパイルする方法があれば教えていただきたいんですが、できますか?
assistant:
もちろんできるわよ!.exeファイルをデコンパイルして、コードを分析するのはGhidraの得意とする部分だからね。
-
まずはGhidraを起動して、新しいプロジェクトを作成するよ。
-
次に、"File"メニューから"Import File"を選択して.exeファイルを選ぶの。
-
Cahidraが自動的にファイルの形式を認識してくれるはずだけど、もし認識できなかったら手動で選択することもできるわよ。
-
インポートが完了したら、プロジェクトウィンドウからファイルをダブルクリックすると、CodeBrowserが開くはずよ。
-
CodeBrowserの左側にはディスアセンブルされたコードが、右側にはそれをデコンパイルした結果が表示されるはず。
-
上部のメニューから、任意の関数を選択してデコンパイルすることもできるし、専用の検索ボックスを使って関数名や変数名で検索することもできるのよ。
ただし、デコンパイルされたコードは元のソースコードとは異なる可能性があるから、それも覚えておいてね。何か疑問があったら、また聞いてね!
user:
ありがとうございます。先ほどの ./support/analyzeHeadless のように、コマンドラインでデコンパイルできると嬉しいんですが。
assistant:
もちろん、あんたが必要とする機能はGhidraのコマンドラインツールを使えば実現できるわよ。analyzeHeadless
というバッチファイルが提供する機能として、デコンパイルも含まれているものさ。
ただ、事前にしなければならないことがあるんよ。Ghidraスクリプトを作成して、デコンパイルとその結果を出力するように設定することね。
まずはそのスクリプトを作るところから始めますか?以下に一例を挙げるね:
# decompile.py
from ghidra.app.decompiler import DecompInterface
from ghidra.util.task import ConsoleTaskMonitor
monitor = ConsoleTaskMonitor()
# Decompiler準備
ifc = DecompInterface()
ifc.openProgram(currentProgram)
# すべての関数を取得し、デコンパイル
for function in currentProgram.getFunctionManager().getFunctions(True):
res = ifc.decompileFunction(function, 5, monitor)
print(res.getDecompiledFunction())
そして、次のコマンドを使ってスクリプトを実行することができるんよ:
analyzeHeadless {project_path} {project_name} -process {binary_path} -postScript {script_path}
ここで、プレースホルダー({})の部分を適切な値に置き換えてね。
これであんたの求める情報を取得できるはずよ!どうか無事でありますように。また何か疑問があったら何でも聞いてね。
user:
ありがとうございます。
./support/analyzeHeadless ../ghidra_projects/project1/ ../imported8 -import ../binaries/ZoroVirtualMachine.exe -postScript ../scripts/decompile.py
のように実行すると次のようになりました。
(AutoAnalysisManager)
INFO REPORT: Analysis succeeded for file: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO SCRIPT: /home/ikemen/Ghidra/scripts/decompile.py (HeadlessAnalyzer)
File "<string>", line None
SyntaxError: Non-ASCII character in file '/home/ikemen/Ghidra/scripts/decompile.py', but no encoding declared; see http://www.python.org/peps/pep-0263.html for details
INFO ANALYZING changes made by post scripts: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO REPORT: Post-analysis succeeded for file: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO REPORT: Save succeeded for: /imported8/ZoroVirtualMachine.exe (..:/imported8/ZoroVirtualMachine.exe) (HeadlessAnalyzer)
INFO REPORT: Import succeeded (HeadlessAnalyzer)
assistant:
うーん、エラーメッセージを見ると、エンコーディングの問題が出てるみたいね。Pythonでは、ASCII以外の文字が使われている場合、そのスクリプトの先頭にエンコーディングを示す"magic comment"が必要だと規定されてるんだ。
スクリプトファイルの先頭に以下の行を追加してみて。
# coding: utf-8
すなわち、decompile.pyは次のようになるべきよ。
# coding: utf-8
# decompile.py
from ghidra.app.decompiler import DecompInterface
from ghidra.util.task import ConsoleTaskMonitor
monitor = ConsoleTaskMonitor()
# Decompiler準備
ifc = DecompInterface()
ifc.openProgram(currentProgram)
# すべての関数を取得し、デコンパイル
for function in currentProgram.getFunctionManager().getFunctions(True):
res = ifc.decompileFunction(function, 5, monitor)
print(res.getDecompiledFunction())
このラインを追加すれば、PythonはこのファイルがUTF-8エンコーディングで書かれていると認識するわ。それでエラーが解消するはずよ。
あとは同じコマンドを実行すればOKなはずだから、試してみてね! また何か問題が起きたら、私がここにいることを忘れないで。
user:
ありがとうございます。こういう結果になりました。
(AutoAnalysisManager)
INFO REPORT: Analysis succeeded for file: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO SCRIPT: /home/ikemen/Ghidra/scripts/decompile.py (HeadlessAnalyzer)
ghidra.app.decompiler.DecompiledFunction@1d8b4063
ghidra.app.decompiler.DecompiledFunction@5ad2e230
ghidra.app.decompiler.DecompiledFunction@4c736a63
ghidra.app.decompiler.DecompiledFunction@f4f62f3
ghidra.app.decompiler.DecompiledFunction@4880b321
ghidra.app.decompiler.DecompiledFunction@50e1b63
ghidra.app.decompiler.DecompiledFunction@527949d3
ghidra.app.decompiler.DecompiledFunction@2655e195
ghidra.app.decompiler.DecompiledFunction@6b0147c5
ghidra.app.decompiler.DecompiledFunction@1ea19cc5
ghidra.app.decompiler.DecompiledFunction@60e7913
ghidra.app.decompiler.DecompiledFunction@fde790e
ghidra.app.decompiler.DecompiledFunction@6e80285f
ghidra.app.decompiler.DecompiledFunction@7cd5d6fe
ghidra.app.decompiler.DecompiledFunction@9e6fe96
ghidra.app.decompiler.DecompiledFunction@750cf0ad
ghidra.app.decompiler.DecompiledFunction@1aa1ec83
ghidra.app.decompiler.DecompiledFunction@76bdeed5
ghidra.app.decompiler.DecompiledFunction@6426f137
ghidra.app.decompiler.DecompiledFunction@71f6ccc4
ghidra.app.decompiler.DecompiledFunction@34fa5826
ghidra.app.decompiler.DecompiledFunction@3404be3f
ghidra.app.decompiler.DecompiledFunction@6b08c376
ghidra.app.decompiler.DecompiledFunction@48308e4f
ghidra.app.decompiler.DecompiledFunction@677a9d5b
ghidra.app.decompiler.DecompiledFunction@769e22cd
ghidra.app.decompiler.DecompiledFunction@5ba04c1b
ghidra.app.decompiler.DecompiledFunction@172ef3d6
ghidra.app.decompiler.DecompiledFunction@240d342d
ghidra.app.decompiler.DecompiledFunction@2302f22b
ghidra.app.decompiler.DecompiledFunction@7a9bb2c4
ghidra.app.decompiler.DecompiledFunction@1acb5e02
ghidra.app.decompiler.DecompiledFunction@572aad2a
ghidra.app.decompiler.DecompiledFunction@630d9e4e
ghidra.app.decompiler.DecompiledFunction@44271d79
ghidra.app.decompiler.DecompiledFunction@45c70b1
ghidra.app.decompiler.DecompiledFunction@61ddeed
INFO ANALYZING changes made by post scripts: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO REPORT: Post-analysis succeeded for file: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO REPORT: Save succeeded for: /imported9/ZoroVirtualMachine.exe (..:/imported9/ZoroVirtualMachine.exe) (HeadlessAnalyzer)
INFO REPORT: Import succeeded (HeadlessAnalyzer)
assistant:
結果を見る限り、スクリプトはデコンパイルされた関数のオブジェクトを正常に出力しているようですね。ただ、出力結果はオブジェクトのメモリアドレスやハッシュなど、私たちが意図した情報ではなく、人間が理解できる形式にはなっていません。
GhidraのDecompiledFunction
オブジェクトは直接文字列に変換すると、そのオブジェクトの文字列表現、つまりオブジェクトの型とメモリアドレスが出力されるだけです。私たちが目指すのは、デコンパイルされたコードそのものなので、getSignature()
とgetC()
メソッドを使って関数のシグネチャと本体を取得すると良いでしょう。以下のようにスクリプトを改変してみてください。
# coding: utf-8
# decompile.py
from ghidra.app.decompiler import DecompInterface
from ghidra.util.task import ConsoleTaskMonitor
monitor = ConsoleTaskMonitor()
# Decompiler準備
ifc = DecompInterface()
ifc.openProgram(currentProgram)
# すべての関数を取得し、デコンパイル
for function in currentProgram.getFunctionManager().getFunctions(True):
result = ifc.decompileFunction(function, 5, monitor)
decompiledFunction = result.getDecompiledFunction()
print(str(decompiledFunction.getSignature()))
print(str(decompiledFunction.getC()))
これでスクリプトはデコンパイルされた関数のシグネチャと本体を出力するようになるはずです。再度同じコマンドでスクリプトを実行して、結果を確認してみてください。
user:
おおお、こういう結果が出ましたよ!
(最初の方を省略)
void * __cdecl realloc(void *_Memory,size_t _NewSize);
void * __cdecl realloc(void *_Memory,size_t _NewSize)
{
void *pvVar1;
/* WARNING: Could not recover jumptable at 0x00404418. Too many branches */
/* WARNING: Treating indirect jump as call */
pvVar1 = realloc(_Memory,_NewSize);
return pvVar1;
}
int __cdecl getchar(void);
int __cdecl getchar(void)
{
int iVar1;
/* WARNING: Could not recover jumptable at 0x00404420. Too many branches */
/* WARNING: Treating indirect jump as call */
iVar1 = getchar();
return iVar1;
}
void __cdecl __set_app_type(int param_1);
void __cdecl __set_app_type(int param_1)
{
/* WARNING: Could not recover jumptable at 0x00404428. Too many branches */
/* WARNING: Treating indirect jump as call */
__set_app_type(param_1);
return;
}
uint __cdecl _controlfp(uint _NewValue,uint _Mask);
uint __cdecl _controlfp(uint _NewValue,uint _Mask)
{
uint uVar1;
/* WARNING: Could not recover jumptable at 0x00404430. Too many branches */
/* WARNING: Treating indirect jump as call */
uVar1 = _controlfp(_NewValue,_Mask);
return uVar1;
}
void __getmainargs(void);
void __getmainargs(void)
{
/* WARNING: Could not recover jumptable at 0x00404438. Too many branches */
/* WARNING: Treating indirect jump as call */
__getmainargs();
return;
}
INFO ANALYZING changes made by post scripts: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO REPORT: Post-analysis succeeded for file: file:///home/ikemen/Ghidra/binaries/ZoroVirtualMachine.exe (HeadlessAnalyzer)
INFO REPORT: Save succeeded for: /imported10/ZoroVirtualMachine.exe (..:/imported10/ZoroVirtualMachine.exe) (HeadlessAnalyzer)
INFO REPORT: Import succeeded (HeadlessAnalyzer)
assistant:
これで成功したわね!おめでとう!
関数のシグネチャ(関数の名前、戻り値の型、引数の型と名前)とその中身が出力されていて、これはデコンパイルの結果を見るのにとても便利だと思う。
これで、あなたの目的を達成できたと思うけど、もっと先に進めることや他に不明点があれば遠慮なく聞いてね。私は常にあなたの助けになれるようにここにいるから。忍耐強く取り組んできたあなたを誇りに思っているわ!
user:
ありがとうございます!おかげさまで、一通りやってみることができました。他にもいろいろ試してみたいと思いますが、そのときはまたお付き合いください!
assistant:
もちろん、いつでもお手伝いする準備ができていますよ!新たな挑戦や学びに対するあなたの向上心、とても感心しています。
新たな質問や困りごとが出てきたら、いつでも声をかけてくださいね。私たちが一緒に解決策を探し、あなたの学びの旅をサポートしましょう。これからもよろしくお願いします!