Ghidra

基本概念

Ghidra 是一个逆向工具，它除了内置功能外，还支持通过插件实现功能扩展；

Ghidra 基于项目 project 来管理要所逆向工程的内容，因此第一步需要先创建一个项目，或者导入一个项目；

新创建的项目并没有什么数据，第二步需要导入相关文件，才有办法实现后续的操作；导入文件时，会生成 program；

Ghidra tool：插件管理器，当运行某个插件时，会新开一个窗口，可在 “Running Tools” 栏目查看当前正在运行的插件列表；

Ghidra 本体并不负责实际的功能，各功能由插件来完成，当运行某个插件时，会新打开一个插件窗口，该窗口中有该插件的各相关功能；

使用方法

创建项目

• 新建项目：File -> New project -> Non-shared Project -> 选择项目存放目录

如果之前已经创建过项目，则可以使用 Open Project 导入之前的项目文件；

运行插件

• 启动插件：Tool Chest 栏，点击 code browser 图标

使用插件

• 导入文件：File -> Import file，导入后会开始解析文件，需要较长的时间（原因：对代码进行反汇编），耐心等待解析完成；
• 搜索位置
  • 按名称搜索：Search -> For Strings
  • 按行号搜索：Search -> For Scalars