Ghidra第一讲,常用快捷键.

2020-10-28 10:22:53 浏览数 (1)

Ghidra第一讲,常用快捷键.

一丶Ghidra简介

Ghidra是由美国国家安全局(NSA)研究部门开发的软件逆向工程(SRE)套件,用于支持网络安全任务. 其实说白了堪比IDA 是一个新的逆向工具,大家有必要学习一下.

fq后的下载地址:https://ghidra-sre.org/releaseNotes_9.1.2.html

Ghidra需要你配置JDK11的环境

fq后的下载地址: https://adoptopenjdk.net/releases.html?variant=openjdk11&jvmVariant=hotspot

Ghida百度盘: 链接:https://pan.baidu.com/s/1Br6RtquG3biwwCk9oMYfoA 提取码:a4gz

jdk11:

链接:https://pan.baidu.com/s/1fMa81FkiZxkO78OywXSERg 提取码:2c10

如何配置以及打开Ghidra自己百度或者Google,这里讲一下快捷键.

二丶快捷键对照表

2.1 反汇编代码快捷键

功能键

功能

说明 反汇编界面操作

C

将汇编转为字节来查看

在反汇编界面选中按C即可

D

将字节解析为汇编

在反汇编界面按D可以将字节转为汇编查看

F

选中函数 建立或者修改函数(修改名字或者调用约定等)

在反汇编界面选中函数进行修改

L

修改标签修改名字

在反汇编界面操作,类似于IDA中的n 重命名

H

显示历史记录修改,历史记录标签

在反汇编窗口操作

CTRL E

伪代码显示

在反汇编界面操作,就是IDA中的F5

G

地址跳转

在反汇编界面操作,跳转到你想要跳转的地址

convert

转换数据类型

在反汇编界面操作,选中常量值,邮件菜单中找到此选项.

CTRL SHIFT G

修改反汇编语句

选中反汇编语句可以进行修改

CTRL Z

撤销刚刚操作

IDA7.2之后才有

CTRL SHIFT F

交叉引用显示

与IDA中的交叉引用相似可以看到谁调用

2.2 F5伪代码快捷键

功能键

功能

说明 反汇编界面操作

L

修改名字

选中伪代码中的变量修改其名字

CTRL L

修改类型

选中伪代码中的变量修改其类型

在其界面上我们还可以将伪代码导出为C代码

伪代码界面还支持选中变量使其高亮,这个自己探究即可.

2.3 16进制界面

Ghidra16进制界面可以帮助我们修改字节,比如在去除花指令的时候可以将花指令修改为90

然后配合C D快捷键将其还原为正常的汇编.

首先点击进去16进制界面

进去看右上角

第一个点击之后你可以修改内存字节,也就是可以Path了.我们可以修改为0x90

当你在反汇编界面点击反汇编语句的时候,16进制界面会自动跳转到其位置显示其字节.

我们可以打开编辑(CTRL ALT E)也就是第一个选项可以进行编辑.

但是这里有一坑,就是说你想编辑的前提必须这个指令是没有解析的,也就是反汇编界面我们可以先按C让其解析为字节,此时才能在16进制界面修改,修改之后按D在反汇编.

Set Byte Viewer Options可以设置界面显示 可以扩展显示,显示汇编,显示整数等等.

如果我们想要搜索怎么办 可以点击摄像头 增强16进制编辑.我们可以在里面找到搜索的选项

分为三步

  1. 标识为1的地址打开之后是下面的界面,也就是增强16进制操作
  2. 点击Search 可以进行搜索 字符串 特征码等等
  3. 显示为3的地方再次点击可以打开多个页面.

总结

功能键

说明

CTRL ALT E

允许16进制可编辑

C

同上

D

同上

S

打开扩展编辑16进制界面可以进行搜索

还有更多好玩的等探索再说,比如符号 脚本 其它各个窗口等.结构体类型转换等等

0 人点赞