Ghidra-MCP-Server für Reverse Engineering

 (github.com/LaurieWired)
12 Punkte von GN⁺ 2025-03-28 | 1 Kommentare | Auf WhatsApp teilen
  • ghidraMCP ist ein Model Context Protocol (MCP)-Server, der große Sprachmodelle (LLMs) dabei unterstützt, Anwendungen autonom per Reverse Engineering zu analysieren
  • Er stellt die Kernfunktionen von Ghidra für MCP-Clients bereit, sodass LLMs Analysewerkzeuge direkt nutzen können
  • Durch die Automatisierung bisher manueller Analyseprozesse trägt er zu höherer Geschwindigkeit und Effizienz beim Reverse Engineering bei
  • Einsetzbar in verschiedenen Bereichen wie KI-gestützter Sicherheitsanalyse, Malware-Analyse und Binary-Debugging

Hauptfunktionen

  • MCP-Server- und Ghidra-Plugin-Aufbau
    • Stellt eine Schnittstelle zur Verbindung zwischen LLMs und Ghidra bereit
    • Macht Ghidra-Funktionen in Form einer API über das MCP-Protokoll verfügbar
  • Binäres Decompiling und Analyse
    • Führt über Ghidra Decompiling und Analysen von ausführbaren Dateien in verschiedenen Formaten wie ELF und PE durch
  • Automatische Benennung von Methoden und Daten
    • Vergibt automatisch aussagekräftige Namen an obfuskierte oder unbenannte Methoden und Daten
    • Verbessert die Lesbarkeit des Codes und beschleunigt die Analyse
  • Abfrage von Code-Strukturen
    • Extrahiert Listen von Methoden, Klassen, Imports und Exports
    • Nützlich für die Analyse von Code-Fluss und Abhängigkeiten

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-03-28
Hacker-News-Kommentare

  • Es gibt die Hoffnung, dass es eines Tages ein Werkzeug geben wird, das alle proprietären Binärdateien in Quellcode umwandeln kann. Es wäre spannend, "Open-Source"-Versionen aller Spiele zu haben

    • Derzeit gibt es Projekte wie OpenGothic und openage, aber diese erfordern langjährige Anstrengungen der Community

  • Es wird angenommen, dass LLMs AST-nativ sein müssten, um Code wirklich zu lösen. Code ist baumartig strukturiert, wir geben ihn dem Modell aber linearisiert als Eingabe

    • Heutigen Modellen fehlt es an Iterationsfähigkeit oder echtem Gedächtnis, um hierarchische Strukturen effektiv zu erschließen

  • Es gibt eine Frage dazu, welche Tools derzeit MCP aufrufen können. Dabei wurde bekannt, dass Claudes Desktop-Anwendung MCP lokal verwenden kann

    • Es wird gefragt, ob es eine Chat-Oberfläche gibt, die MCP remote nutzen kann
    • Gewünscht wird, in den Web-Oberflächen von ChatGPT, Claude und Gemini MCP-Endpunkte und Funktionen angeben zu können, damit Server remote aufgerufen werden können

  • Es gab ein gutes Video zu einer früheren Integration von Ghidra und LLMs

    • Zu Malimite gibt es Informationen – über einen iOS- und macOS-Decompiler
    • Falls man ihren YouTube-Kanal noch nicht kennt, wird er empfohlen. Neben den technischen Inhalten macht auch der mit Retro-OS-Grafik geschnittene Stil Spaß

  • Es gibt auch Informationen zu radare2

  • Die Erfahrung, aus Ghidra einfach per Copy-and-Paste in ein LLM zu arbeiten, war nicht erfolgreich. Benchmarks für solche Ansätze wären wünschenswert

  • Es gibt die Meinung, dass ein MCP-Server mehr Funktionen haben sollte, etwa beliebiges Lesen und Schreiben in einem Programm

    • Zum Beispiel wurde an einer sich selbst entpackenden CTF-Challenge mit XOR-verschleierten Instruktionen gearbeitet. Es wäre hilfreich, den Wert an einer XOR-verschleierten Adresse lesen zu können

  • Es gibt ein Gedankenspiel dazu, wie sich Sicherheit verändern würde, wenn man alle Binärdateien sofort und perfekt reverse engineeren könnte

  • Es wird gefragt, ob jemand an einem "Katalog" von MCP-Servern arbeitet. Auf GitHub danach zu suchen, ist nicht der beste Weg, sie zu finden