GhidraMCP: una herramienta de ingeniería inversa para conectar la IA con Ghidra

Introducción general

GhidraMCP es una herramienta de código abierto cuyo objetivo principal es combinar la Inteligencia Artificial (IA) con Ghidra, un potente software de ingeniería inversa. Automatiza la tarea de analizar archivos binarios permitiendo que grandes modelos lingüísticos (LLM) operen directamente en Ghidra a través del protocolo Model Context Protocol (MCP). Esta herramienta fue desarrollada por LaurieWired en GitHub y publicada en marzo de 2025. Es adecuada para investigadores de seguridad, programadores o usuarios interesados en la ingeniería inversa.GhidraMCP está aquí para hacer más eficientes los análisis manuales que de otro modo serían complejos, especialmente para escenarios como el análisis de malware y el descubrimiento de vulnerabilidades.

GhidraMCP:连接AI与Ghidra的逆向工程工具

 

Lista de funciones

  • Ingeniería inversa automatizada: controle Ghidra mediante IA para analizar automáticamente los binarios.
  • Renombrado de métodos y datos: Identifique métodos y datos en su código y genere automáticamente nombres más legibles.
  • Análisis sintáctico de archivos binarios: enumera las funciones, clases e información de importación y exportación del archivo.
  • Soporte de análisis de malware: ayuda a identificar posibles vulnerabilidades de seguridad y comportamientos maliciosos.
  • Admite varios MCP Cliente: Compatible Claude Desktop, 5ire y otros clientes.
  • Código abierto y personalizable: los usuarios pueden modificar el código o ampliar la funcionalidad según sus necesidades.

 

Utilizar la ayuda

Proceso de instalación

GhidraMCP es necesario para trabajar con clientes Ghidra y MCP. A continuación se detallan los pasos de instalación:

  1. Preparar el entorno
    • Asegúrese de tener instalada Ghidra, una herramienta de ingeniería inversa de código abierto desarrollada por la Agencia de Seguridad Nacional (NSA) que puede descargarse del sitio web de Ghidra.
    • Instale el entorno Python, se recomienda Python 3.8 o superior porque algunos de los scripts dependen de Python.
    • Descargue GhidraMCP. desde el repositorio GitHub Haga clic en "Releases" para obtener la última versión del archivo ZIP.
  2. Instalación del plug-in Ghidra
    • Descomprima el archivo ZIP GhidraMCP descargado y localice el archivo del plugin (normalmente el archivo .zip (Formato).
    • Abre Ghidra y ve al menú File -> Install Extensions.
    • Haga clic en el botón "+" para seleccionar el archivo de plugin extraído, confirme y reinicie Ghidra.
    • Una vez instalado el plugin, la funcionalidad GhidraMCP se integra automáticamente en Ghidra.
  3. Configuración del cliente MCP
    GhidraMCP requiere un cliente MCP para conectarse a la IA. a continuación se muestra un ejemplo de Claude Desktop y 5ire:

    • Configuración de Claude Desktop
      • Abra Claude Desktop y vaya a Settings -> Developer -> Edit Config.
      • Editar archivo de configuración claude_desktop_config.jsonañade lo siguiente:
        {
        "mcpServers": {
        "ghidra": {
        "command": "python",
        "args": ["/你的绝对路径/bridge_mcp_ghidra.py"]
        }
        }
        }
        
      • seguro bridge_mcp_ghidra.py La ruta del archivo es correcta, este archivo se encuentra en el paquete de descarga GhidraMCP.
    • Configuración de 5 hilos
      • Abra 5ire y vaya a Tools -> New.
      • Introduzca la ruta y los parámetros para GhidraMCP en los ajustes y guarde la configuración.
    • Una vez finalizada la configuración, inicie el cliente y la IA podrá comunicarse con Ghidra a través del protocolo MCP.
  4. Verificar la instalación
    • Abra Ghidra y cargue un fichero binario (por ejemplo .exe tal vez .bin).
    • Introduzca un comando en el cliente MCP, por ejemplo "Analizar todas las funciones de este archivo". Si el resultado devuelto es normal, la instalación se ha realizado correctamente.

Funciones principales

  • Análisis automatizado de archivos binarios
    • Tras abrir el archivo de destino en Ghidra, cambie al cliente MCP.
    • Introduzca una orden en lenguaje natural, por ejemplo "enumerar todas las funciones y cambiarles el nombre", y la IA llamará automáticamente a las funciones de Ghidra, analizará el fichero y le devolverá los resultados.
    • Los resultados se muestran en la interfaz del cliente y suelen incluir una lista de funciones y nuevos nombres generados automáticamente.
  • Renombrar métodos y datos
    • En el lado del cliente, escribe "renombrar todas las funciones sin nombre". La IA adivinará para qué se utiliza la función basándose en el contexto y te dará un nombre más intuitivo.
    • Si es necesario realizar ajustes manuales, el resultado renombrado se sincroniza con la vista de código de Ghidra.
  • Análisis de malware
    • Después de cargar la muestra de malware, entre en "Comprobar posibles vulnerabilidades" o "Encontrar comportamientos maliciosos".
    • La IA analiza las tablas de importación, las cadenas y las relaciones de llamada del archivo, y devuelve posibles problemas de seguridad, como solicitudes de red u operaciones de archivo sospechosas.

flujo de trabajo

  1. Inicie los clientes Ghidra y MCP.
  2. Importe el archivo binario en Ghidra y haga clic en "Analizar" para iniciar el análisis sintáctico inicial.
  3. Cambie al cliente MCP e introduzca un comando de análisis como "extraer todas las cadenas" o "analizar llamadas a funciones".
  4. Vea los resultados devueltos, ajuste las instrucciones según sea necesario o compruebe manualmente los detalles.
  5. Para guardar los resultados del análisis, Ghidra permite exportarlos a un archivo de proyecto para su uso posterior.

advertencia

  • Asegúrese de que la red está abierta, algunos modelos de IA necesitan ser llamados en línea.
  • Si se produce un error, compruebe bridge_mcp_ghidra.py o consulte la página Cuestiones en GitHub para obtener ayuda.
  • En el caso de archivos grandes, el análisis puede llevar más tiempo y se recomienda probar primero muestras pequeñas.

 

escenario de aplicación

  1. Investigación de malware
    Los investigadores de seguridad pueden utilizar GhidraMCP para analizar rápidamente virus o troyanos y encontrar la lógica de ejecución y las funciones ocultas del código malicioso.
  2. Minería de vulnerabilidades de software
    Los desarrolladores pueden utilizarlo para inspeccionar binarios en busca de posibles agujeros de seguridad, como desbordamientos de búfer o accesos no autorizados.
  3. Aprender ingeniería inversa
    Los principiantes pueden comprender rápidamente la estructura y la función de los archivos binarios con la ayuda de la IA, lo que reduce el umbral de aprendizaje.

 

CONTROL DE CALIDAD

  1. ¿Con qué sistemas operativos es compatible GhidraMCP?
    Es compatible con todos los sistemas admitidos por Ghidra, incluidos Windows, Mac y Linux.
  2. ¿Se requiere experiencia en programación?
    No es necesario. La instalación y el uso básico es un proceso paso a paso. Sin embargo, si desea personalizar la funcionalidad, es una ventaja tener conocimientos de Java o Python.
  3. ¿Se puede utilizar sin conexión?
    Sí, pero algunos de los modelos de IA necesitan estar conectados en red. Si utilizas modelos locales, puedes ejecutarlos completamente sin conexión.
© declaración de copyright

Artículos relacionados

Sin comentarios

Debe iniciar sesión para participar en los comentarios.
Acceder ahora
ninguno
Sin comentarios...