Ghidra adlı yazılım NSA'nın siber güvenlikçileri tarafından geliştirlen bir tersine mühendislik aracıdır.
Ghidranın amacı kötü amaçlı yazılımları tespit etmek ve analizini yapmak için kullanılır, ağlardaki açıkları bulabilir.
Ghidra windows, linux, MACOs ve bazı başka platformlar için çalışma desteği sağlar. Ayrıca kullanıcılar kendi ghidra eklentilerini oluşturabilirler.
Kurlulumu
Öncelikle https://ghidra-sre.org/ şu siteye girip aracı indirin. Dosya rar şeklindedir. Bu yazılımı çalıştırmanız için bilgisayarınızda java jdk 11 ve üzeri sürümü yüklü olması gerekir. Yüklü değilse https://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html bu siteye girip anlaşmayı kabul edin ve bilgisayarınıza uygun olan jdkyı indirin ve kurun.
Gerekli eklentileri kurduktan sonra ghidrayı yüklemeye geçelim.
İndirdiğiniz dosyadaki ghidraRun.bat dosyasını yönetici olarak çalıştırın.(Sağ tıkla, yönetici olarak çalıştır.)
Ardından cmd ekranı açılacaktır. Ekran şöyle olması gerekiyor.
Burda jdk yolunu belirtmeniz gerekiyor zaten yüklüyse direk diğer adıma geçiyor. Ama yüklü değilse cmd ekranında kalır. Otomatik bulmazsa jdk klasör yolunu belirtin ve devam edin.
Ardından diğer adıma geçiyor. Burda I Agree (Kabul ediyorum) seçeneğine tıklayarak devam edin. Söyle bir ekran:
Başlatılıyor...
Ardından uygulama açılacaktır. Şöyle bir ekran ile karşılacaksınız. Öndeki pencere ipuçlarını gösteriyor. Close diyerek kapatın ve asıl pencereye gelin. Bu pencere proje yöneticisi penceresidir ve bu pencereye ulaşmışsanız kurulumda herhangi bir sıkıntı oluşmamıştır.
Şimdi basit bir uygulama yapalım.
Proje yönetim ekranında iken üst sekmelerde buluna File>>New Project... yolunu izleyin.
Karşınıza gelen pencerede non-shared project seçeneğini işaretleyerek devam edin. Bu paylaşılmayan bir proje ile çalışacağımızı diğer ise paylaşılan bir proje ile çalıaşcağımızı belirtir. Ardından Next>> butonuna tıklayın..
Next'e bastıktan sonra karşınıza gelen ekranda; projenin nereye kaydedileceğini ve proje adını seçin. Üstteki proje yolu ve alttaki de proje adıdır. Yerleri doldurduktan sonra Finish butonuna tıklayın.
Projemiz oluştu ve şöyle bir ekran ile karşılaştık.
Buraya kadar sorun yoksa bir .exe dosyasını projemize dahil edelim..
Bunu yapmak için File>>İmport File yolunu izliyoruz ya da .exe dosyasını sürükleyip proje sayfamızda bulunan klasörün üzerine bırakıyoruz.
Hemen ardından yüklendiğini gösteren bir pencere açılacaktır.
Yüklendikten sonra bazı ayarlar yapmak içi şöyle bir pencere açılacaktır.
Bu pencereden Options butonuna tıklayıp ayarlar menüsünden istediğiniz ayarı etkinleştirebilirsiniz.
ince bir ayar yapmal için Load External Libraries yani harici kütüphaneleri yükle seçeneğini aktif ediyoruz. Bu ayar eğer programda harici başka bir kütüphane kullanılmışsa onlarıda raporlarda gösterir.
Ardında Ok deyip her iki pencereyide kapatıyoruz.
Hemen sonra yüklemiş olduğumuz dosya analiz edilmeye başlayacaktır ve bunu içe akracaktır.
Yükleme tamamlandığı zaman çalışma alanında şöyle analiz raporları belirecektir.
yüklemeden hemen sonra gelecek olan pencere program hakkında özet bilgileri içeren penceredir. Bunu okuyarak ön bilgi sahibi olabilirsiniz.
Bu işlemlerden sonra Ghidra program açmaya hazırdır. hemen bir program üzerinden deneyelim..
Bir programı açmak için programın adı ile oluşan metin belgesini kutucuk içindeki ejderhanın üzerine sürükleyip bırakın ve açılmasını bekleyin.
Şöyle bir pencere açılacaktır. Bu menü program hiç analiz edilmediyse açılır. Eğer analiz yapmışsanız açılmayacaktır. Programı analiz etmek için menüdeki üst pencerede bulunan Yes butonuna basın.
Yes dedikten sonra analiz ayar menüsü açılacaktır. Bu menü analiz listesini gösteriyor. Yani yapmak istediğiniz analiz hangisi ise onu seçebilirsiniz. İstediğiniz seçimi yaptıktan sonra Analyze butonuna basın.
Analizin başladığını sağ alt kısımdan görebilirsiniz. Dilerseniz en sağda bulunan kırmızı exit işaretine basarak sonlandırabilirsiniz.
Analiz bittikten sonra varsayılan kodunuz tarayıcı aracı ile birlikte açılır ve programınızın kodları görünür.
şimdi üstteki resime bakarak paneli açıklayayım.
Kırmızı seçili yer, Program Tree bu program ağacıdır. Programın yapısını gösterir ve bazı işlemleriyapmak için kullanılır.
Mavi tonlu seçili yer sembol ağacını gösterir. burası sembol bulma ve arama yapmayı sağlar. aramayı find kısmına yazarak yapıyoruz.
Siyah seçili yer ise veri tipi yöneticisi olarak adlandırılıyor. Burda veri türlerini bulma uygulama oluşturma işlerini yapıyoruz.
Şimdi belli bir adrese gitmek için G tuşuna basarak gidebilirsniz. herhangi bir satır adresi yazın ve Ok deyip ilerleyin..
şu soldaki pencere programın assembly kodlarını gösterir ve sağdaki ise programın C kodlarını gösteriyor.
Evet beim anlatacaklarım bu kadar. Dilerseniz F1 tuşuna basarak yardım menüsünü açabilir ve ihtiyacınız olanı arayabilirsiniz.
Esen kalın..
Son düzenleme:
