GEARSHIFT 项目教程

GEARSHIFT 项目教程

GEARSHIFT 项目地址: https://gitcode.com/gh_mirrors/ge/GEARSHIFT

1. 项目介绍

GEARSHIFT 是一个用于恢复剥离二进制文件中指定函数结构的工具。它还能够生成模糊测试工具，用于调用共享对象（.so）或动态链接库（.dll）文件中的函数。GEARSHIFT 的名字来源于它结合了逆向工程和正向工程的技术。

2. 项目快速启动

安装

1. 克隆项目仓库：

   git clone https://github.com/grimm-co/GEARSHIFT.git
   cd GEARSHIFT
   

2. 将 Python 脚本文件复制到 Ghidra 的脚本目录中：

   cp plugin/*.py /path/to/ghidra/script/directory/
   

3. 在 Ghidra 中打开脚本管理器（Window > Script Manager），点击“Script Directories”按钮，添加或选择一个目录，然后点击“Refresh Script List”按钮。脚本应该会出现在 GEARSHIFT 文件夹中。

使用

1. 在 Ghidra 中选择一个你想要分析其参数的函数。
2. 在脚本管理器中，选择 GEARSHIFT 文件夹下的 go.py 脚本，然后点击“Run”。
3. 脚本将生成测试代码，并在数据类型管理器中定义从函数参数中识别出的结构体。

编译和运行

1. 编译生成的测试代码（需要使用 -ldl 标志来编译共享对象）：

   gcc -o harness harness.c -ldl
   

2. 运行测试代码，并传递输入文件名作为参数：

   ./harness input_file.so
   

3. 应用案例和最佳实践

应用案例

GEARSHIFT 可以用于分析和恢复剥离二进制文件中的函数结构，这对于逆向工程和安全分析非常有用。例如，安全研究人员可以使用 GEARSHIFT 来分析恶意软件中的函数，以了解其行为和潜在的漏洞。

最佳实践

• 选择合适的函数：在运行 GEARSHIFT 之前，选择一个具有代表性的函数进行分析，以确保生成的结构体和测试代码是有意义的。
• 检查生成的代码：在编译和运行生成的测试代码之前，仔细检查代码，确保没有语法错误或逻辑错误。
• 使用示例程序：项目中的 example/ 目录提供了示例程序，可以用来测试和熟悉 GEARSHIFT 的功能。

4. 典型生态项目

• Ghidra：GEARSHIFT 是基于 Ghidra 开发的，Ghidra 是一个强大的逆向工程工具，支持多种二进制文件格式和平台。
• LIEF：LIEF 项目可以用于修改 ELF 文件的属性，例如移除 PIE 标志，这对于某些情况下加载 ELF 可执行文件非常有用。
• Radare2：另一个流行的逆向工程工具，可以与 GEARSHIFT 结合使用，提供更全面的二进制分析功能。

通过这些工具的结合使用，可以更高效地进行二进制文件的分析和逆向工程。

GEARSHIFT 项目地址: https://gitcode.com/gh_mirrors/ge/GEARSHIFT