GhidraMCP: una herramienta de ingeniería inversa para conectar la IA con Ghidra
Últimos recursos sobre IAPublicado hace 5 meses Círculo de intercambio de inteligencia artificial 14.5K 00
Introducción general
GhidraMCP es una herramienta de código abierto cuyo objetivo principal es combinar la Inteligencia Artificial (IA) con Ghidra, un potente software de ingeniería inversa. Automatiza la tarea de analizar archivos binarios permitiendo que grandes modelos lingüísticos (LLM) operen directamente en Ghidra a través del protocolo Model Context Protocol (MCP). Esta herramienta fue desarrollada por LaurieWired en GitHub y publicada en marzo de 2025. Es adecuada para investigadores de seguridad, programadores o usuarios interesados en la ingeniería inversa.GhidraMCP está aquí para hacer más eficientes los análisis manuales que de otro modo serían complejos, especialmente para escenarios como el análisis de malware y el descubrimiento de vulnerabilidades.

Lista de funciones
- Ingeniería inversa automatizada: controle Ghidra mediante IA para analizar automáticamente los binarios.
- Renombrado de métodos y datos: Identifique métodos y datos en su código y genere automáticamente nombres más legibles.
- Análisis sintáctico de archivos binarios: enumera las funciones, clases e información de importación y exportación del archivo.
- Soporte de análisis de malware: ayuda a identificar posibles vulnerabilidades de seguridad y comportamientos maliciosos.
- Admite varios MCP Cliente: Compatible Claude Desktop, 5ire y otros clientes.
- Código abierto y personalizable: los usuarios pueden modificar el código o ampliar la funcionalidad según sus necesidades.
Utilizar la ayuda
Proceso de instalación
GhidraMCP es necesario para trabajar con clientes Ghidra y MCP. A continuación se detallan los pasos de instalación:
- Preparar el entorno
- Asegúrese de tener instalada Ghidra, una herramienta de ingeniería inversa de código abierto desarrollada por la Agencia de Seguridad Nacional (NSA) que puede descargarse del sitio web de Ghidra.
- Instale el entorno Python, se recomienda Python 3.8 o superior porque algunos de los scripts dependen de Python.
- Descargue GhidraMCP. desde el repositorio GitHub Haga clic en "Releases" para obtener la última versión del archivo ZIP.
- Instalación del plug-in Ghidra
- Descomprima el archivo ZIP GhidraMCP descargado y localice el archivo del plugin (normalmente el archivo
.zip
(Formato). - Abre Ghidra y ve al menú
File -> Install Extensions
. - Haga clic en el botón "+" para seleccionar el archivo de plugin extraído, confirme y reinicie Ghidra.
- Una vez instalado el plugin, la funcionalidad GhidraMCP se integra automáticamente en Ghidra.
- Descomprima el archivo ZIP GhidraMCP descargado y localice el archivo del plugin (normalmente el archivo
- Configuración del cliente MCP
GhidraMCP requiere un cliente MCP para conectarse a la IA. a continuación se muestra un ejemplo de Claude Desktop y 5ire:- Configuración de Claude Desktop
- Abra Claude Desktop y vaya a
Settings -> Developer -> Edit Config
. - Editar archivo de configuración
claude_desktop_config.json
añade lo siguiente:{ "mcpServers": { "ghidra": { "command": "python", "args": ["/你的绝对路径/bridge_mcp_ghidra.py"] } } }
- seguro
bridge_mcp_ghidra.py
La ruta del archivo es correcta, este archivo se encuentra en el paquete de descarga GhidraMCP.
- Abra Claude Desktop y vaya a
- Configuración de 5 hilos
- Abra 5ire y vaya a
Tools -> New
. - Introduzca la ruta y los parámetros para GhidraMCP en los ajustes y guarde la configuración.
- Abra 5ire y vaya a
- Una vez finalizada la configuración, inicie el cliente y la IA podrá comunicarse con Ghidra a través del protocolo MCP.
- Configuración de Claude Desktop
- Verificar la instalación
- Abra Ghidra y cargue un fichero binario (por ejemplo
.exe
tal vez.bin
). - Introduzca un comando en el cliente MCP, por ejemplo "Analizar todas las funciones de este archivo". Si el resultado devuelto es normal, la instalación se ha realizado correctamente.
- Abra Ghidra y cargue un fichero binario (por ejemplo
Funciones principales
- Análisis automatizado de archivos binarios
- Tras abrir el archivo de destino en Ghidra, cambie al cliente MCP.
- Introduzca una orden en lenguaje natural, por ejemplo "enumerar todas las funciones y cambiarles el nombre", y la IA llamará automáticamente a las funciones de Ghidra, analizará el fichero y le devolverá los resultados.
- Los resultados se muestran en la interfaz del cliente y suelen incluir una lista de funciones y nuevos nombres generados automáticamente.
- Renombrar métodos y datos
- En el lado del cliente, escribe "renombrar todas las funciones sin nombre". La IA adivinará para qué se utiliza la función basándose en el contexto y te dará un nombre más intuitivo.
- Si es necesario realizar ajustes manuales, el resultado renombrado se sincroniza con la vista de código de Ghidra.
- Análisis de malware
- Después de cargar la muestra de malware, entre en "Comprobar posibles vulnerabilidades" o "Encontrar comportamientos maliciosos".
- La IA analiza las tablas de importación, las cadenas y las relaciones de llamada del archivo, y devuelve posibles problemas de seguridad, como solicitudes de red u operaciones de archivo sospechosas.
flujo de trabajo
- Inicie los clientes Ghidra y MCP.
- Importe el archivo binario en Ghidra y haga clic en "Analizar" para iniciar el análisis sintáctico inicial.
- Cambie al cliente MCP e introduzca un comando de análisis como "extraer todas las cadenas" o "analizar llamadas a funciones".
- Vea los resultados devueltos, ajuste las instrucciones según sea necesario o compruebe manualmente los detalles.
- Para guardar los resultados del análisis, Ghidra permite exportarlos a un archivo de proyecto para su uso posterior.
advertencia
- Asegúrese de que la red está abierta, algunos modelos de IA necesitan ser llamados en línea.
- Si se produce un error, compruebe
bridge_mcp_ghidra.py
o consulte la página Cuestiones en GitHub para obtener ayuda. - En el caso de archivos grandes, el análisis puede llevar más tiempo y se recomienda probar primero muestras pequeñas.
escenario de aplicación
- Investigación de malware
Los investigadores de seguridad pueden utilizar GhidraMCP para analizar rápidamente virus o troyanos y encontrar la lógica de ejecución y las funciones ocultas del código malicioso. - Minería de vulnerabilidades de software
Los desarrolladores pueden utilizarlo para inspeccionar binarios en busca de posibles agujeros de seguridad, como desbordamientos de búfer o accesos no autorizados. - Aprender ingeniería inversa
Los principiantes pueden comprender rápidamente la estructura y la función de los archivos binarios con la ayuda de la IA, lo que reduce el umbral de aprendizaje.
CONTROL DE CALIDAD
- ¿Con qué sistemas operativos es compatible GhidraMCP?
Es compatible con todos los sistemas admitidos por Ghidra, incluidos Windows, Mac y Linux. - ¿Se requiere experiencia en programación?
No es necesario. La instalación y el uso básico es un proceso paso a paso. Sin embargo, si desea personalizar la funcionalidad, es una ventaja tener conocimientos de Java o Python. - ¿Se puede utilizar sin conexión?
Sí, pero algunos de los modelos de IA necesitan estar conectados en red. Si utilizas modelos locales, puedes ejecutarlos completamente sin conexión.
© declaración de copyright
Derechos de autor del artículo Círculo de intercambio de inteligencia artificial Todos, por favor no reproducir sin permiso.
Artículos relacionados
Sin comentarios...