NSA 秘密逆向工具 GHIDRA 和开源库长什么样？

编译：360代码卫士团队

2017年3月，维基解密在披露美国中情局 Vault 7 文档中说明了中情局所使用的多种工具，其中包含无数个对由美国国安局 (NSA) 开发的名为 GHIDRA 的逆向工具的引用。在今年3月举办的 RSA 2019 安全大会上，NSA 将亲自上阵，公布这款神秘的逆向工程工具。

RSA 2019 大会这样介绍道，“NSA 开发了一款名为 GHIDRA 的软件逆向工程框架，它将于RSA 2019 大会上首次亮相，进行公开演示。它具备的交互式 GUI 能力可使逆向工程师利用运行在多种平台如 Windows、Mac OS 和 LINUX 上的一系列集成功能，并支持多种处理器指令集。GHIDRA 平台包含所有高端商业工具中所具备的能力，是NSA 专门开发的新的具有扩展功能的工具。它将在 RSA 上发布，免费向公众开放。”

从 RSA 2019 大会页面来看，将由NSA 局长网络安全战略资深顾问 Robert Joyce 做演讲。此人自1989年起就在 NSA 网络安全和信号情报处工作，曾在白宫担任总统和网络安全协调员的特别助理一职，负责为美国制定并执行国家和国际网络安全战略和政策。他还担任国土安全部副部长顾问以及国土安全代理顾问一职。他任职过的岗位还包括定制访问操作 (TAO) 主管和信息保障局 (IAD) 副主管。在刚刚过去的圣诞节期间，他运行了和音乐同步的计算机化灯光显示器，应该能从国际空间站看到。

虽然 Robert Joyce 在RSA 2019 大会才会公开 GHIDRA 工具，但从维基解密引用和访问过该工具的人的评论来看，GHIDRA 是一款基于 Java 的框架。有人可能会将其与 IDA Pro 相比较。Reddit 论坛上昵称为 hash_define 曾访问过 GHIDRA 工具，他表示，“这个问题不好回答。我认为它们基本一样，处理多数任务足够了。我会根据任务来具体选择使用哪款工具。我认为在 windows x64 上用的话，IDA 可能更有优势；但如果碰到奇怪的任务或者是大量复杂的需要一个多月才能完成的程序的话，我会选择 Ghidra。”

NSA 开源库是由NSA 自行开发的现面向公众的开源软件组成的。目前来看共有35款工具，GHIDRA 发布后应该也将被纳入该开源库。我们来看看这些开源工具有哪些：

（1）      APACHE ACCUMULO

APACHE ACCUMULO是一款有序的分布式键/值存储，可提供强大的、可扩展数据存储和检索功能。它增加了基于单元的访问控制和服务器端编程机制，可用于修改数据管理流程中各个点的键/值对。

托管地址：https://accumulo.apache.org/

（2）      BEER GARDEN

BEER GARDEN是一款功能强大的插件框架，可将函数转换为可组合、可发现、生产就绪的且成本最小化的服务。

托管地址：https://github.com/beer-garden/beer-garden

（3）      CASA

CASA 用于识别 Windows 系统中的异常和被禁止的 CA 证书。

托管地址：https://github.com/nsacyber/certificate-authority-situational-awareness

（4）      控制流完整性研究方法

一篇名为《IT 生态系统硬件控制流完整性》论文中提到的用于阻止已知的内存损坏利用技术的基于硬件的方法。

托管地址：https://github.com/nsacyber/control-flow-integrity

（5）      DATAWAVE

DATAWAVE 是一款通用的摄取和查询框架，它利用 Apache Accumulo 来促进对结构化和非结构化文本对象的持久性、索引和查询操作。

托管地址：https://github.com/nationalsecurityagency/datawave

（6）      DCP

该程序用于降低在取证分析过程中制作硬盘驱动取证拷贝所消耗的时间。

托管地址：https://github.com/nationalsecurityagency/dcp

（7）      EMISSARY

Emissary 是一款基于 P2P 的数据驱动工作流引擎，运行在异构的、很可能广泛分散的多层 P2P 计算机资源网络中。目前详情尚未发布。

托管地址：https://github.com/nationalsecurityagency/emissary

（8）      EOWS

EOWS 是一款支持 web 的原型工具，它实现了用于创建、管理和响应问卷的 Open Checklist 交互式语言 (OCIL) 功能。目前详情尚未发布。

托管地址：尚无

（9）      FEMTO

FEMTO 是索引和搜索系统，可用于对任意格式的数据进行快速搜索。

托管地址：https://github.com/femto-dev/femto

（10）  GOSECURE

GOSECURE 是易于使用的便携式 VPN 系统，通过 Linux 和Raspberry Pi 3 构建而成。

托管地址：https://github.com/nsacyber/gosecure

（11）  GRASSMARLIN

Grassmarlin 提供工业控制系统 (ICS) 和监控和数据采集 (SCADA) 网络的网络态势感知服务，以保护网络安全。

托管地址：https://github.com/nsacyber/grassmarlin

（12）  JAVA PATHFINDER MANGO (JPF-MANGO)

JPF-MANGO是一款使用形式化分析方法的静态代码分析工具，隶属于 NASA Ames Java PathFinder 项目。该项目是用于验证可执行 Java 字节代码的系统。

托管地址：https://babelfish.arc.nasa.gov/trac/jpf/wiki/projects/jpf-mango

（13）  LEMONGRAPH/LEMONGRENADE

LEMONGRAPH/LEMONGRENADE是由单个文件支持的基于日志的交易图数据库引擎。主要的用例是支持流种子集扩展、迭代关联和递归文件处理。

托管地址：https://github.com/nationalsecurityagency/lemongraph

https://github.com/nationalsecurityagency/lemongrenade

（14）  LOCKLEVEL

LOCKLEVEL 是一种原型，是用于演示评估 Windows 系统执行某些前十大 IA 缓解策略效果的方法。

托管地址：https://github.com/nsacyber/locklevel

（15）  MAPLESYRUP

MAPLESYRUP 通过检查处理器的系统寄存器接口来评估基于 ARM 的设备的安全状态。

托管地址：https://github.com/nsacyber/maplesyrup

（16）  NB GALLERY

NB Gallery 是用于 Jupyter 分析的发布、共享和协作平台。

托管地址：https://github.com/nbgallery

（17）  APACHE NIFI

APACHE NIFI 用于自动化系统之间的数据流。NiFi 实现了“基于流的编程”概念，并解决了企业面临的常见数据流问题。

托管地址：https://nifi.apache.org/

（18）  ONOP

ONOP 通过位于支持 OpenFlow 的网络控制器之上的 SDN 应用程序，从根本上简化了企业网络的运行。

托管地址：https://github.com/onop

（19）  OPAL

OPAL 用于管理并将现有的商业硬盘驱动标准化。目前尚未发布详情。

托管地址：尚无。

（20）  OPENATTESTATION

它通过建立系统可信平台模块 (TPM) 的基线测量来验证系统的完整性并监控该测量的变化。它的最初版本基于 NSA 的Startup 主机完整性 (HIS) 软件。

托管地址：https://github.com/openattestation/openattestation

（21）  OZONE TECHNOLOGY

它是模块化的“即插即用”服务和功能套件，允许组织机构自定义套件以满足其特定环境。

托管地址：https://github.com/ozoneplatform/owf-framework

（22）  PRESSUREWAVE

它结合企业对象存储功能和灵活的策略语言，在同一系统内自定义数据访问控制、数据保留和数据存储。目前尚未发布相关详情。

托管地址：尚无。

（23）  REDHAWK

它是一个软件定义无线电 (SDR) 框架，旨在支持对实时软件无线电应用程序的开发、部署和管理。

托管地址：https://github.com/redhawksdr

（24）  SAMI

SAMI 用于衡量前十大 IA 缓解策略在 Windows 系统上的具体部署程度。

托管地址：https://github.com/nsacyber/splunk-assessment-of-mitigation-implementations

（25）  SCAP 安全指南 (SSG)

使用安全内容自动化协议 (SCAP) 提供安全指南、基线和相关验证机制，以加强 Red Hat 产品。

托管地址：https://github.com/complianceascode/content

（26）  SECURE HOST BASELINE (SHB)

SHB 是支持 Windows 10 实现 DoD 安全主机基准的组策略对象、配置文件、合规检查和脚本。

托管地址：https://github.com/complianceascode/content

（27）  安全增强 Linux (SELINUX)

它是 Linux 内核的强制性访问控制机制，用于在检查标准自主访问控制后查看允许的操作。它可以根据定义的策略强制执行 Linux 系统中的文件和进程规则以及它们所执行的操作规则。Linux 内核2.6.0 及后续版本均集成了SELinux。

托管地址：https://github.com/SELinuxProject

（28）  安卓安全增强 (SEANDROID)

通过对所有的安卓进程强制实施访问控制，根据安全策略对权限进程进行限制。自安卓版本 4.3 以来，它就是安卓的一部分。

托管地址：https://source.android.com/security/selinux

（29）  SIMON AND SPECK

它是 Simon and Speck 家族的轻量级分组密码算法。

托管地址：https://github.com/nsacyber/simon-speck

（30）  系统完整性管理平台 (SIMP)

SIMP 用于自动化 Linux 操作系统的系统配置和合规性，使其符合行业最佳实践。

托管地址：https://github.com/nationalsecurityagency/simp

（31）  TIMELY

TIMELY 为Accumulo 中存储的时间序列数据提供安全访问权限。

托管地址：https://github.com/nationalsecurityagency/timely

（32）  UNFETTER

UNFETTER 为网络防御人员、安全专业人员和决策者提供量化衡量安全状况的机制。

托管地址：https://github.com/unfetter-discover/unfetter

（33）  WALKOFF

WALKOFF 是一种主动网络防御开发框架，可编写一次编排功能并部署于支持 WALKOFF 的编排工具中。

托管地址：https://github.com/nsacyber/walkoff

（34）  WATERSLIDE

WATERSLIDE 是一种用于处理元数据的架构，旨在从多个源接受一组流事件，通过一组模块进行处理并返回有意义的输出。

托管地址：https://github.com/waterslidelts/waterslide

（35）  WELM

WELM 用于检索内嵌在操作系统二进制文件中的 Windows 事件日志消息的定义。

托管地址：https://github.com/nsacyber/windows-event-log-messages

原文链接

https://www.bleepingcomputer.com/news/security/nsa-releasing-the-ghidra-reverse-engineering-tool-at-rsaconference/

https://www.rsaconference.com/events/us19/agenda/sessions/16608-Come-Get-Your-Free-NSA-Reverse-Engineering-Tool

https://code.nsa.gov/

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士 www.codesafe.cn”。