GhidraMCP : un outil de rétro-ingénierie pour connecter l'IA à la Ghidra

Introduction générale

GhidraMCP 是一个开源工具，核心目标是把人工智能（AI）与 Ghidra 这个强大的逆向工程软件结合起来。它通过 Model Context Protocol（简称 MCP）协议，让大型语言模型（LLM）能够直接操作 Ghidra，自动化处理二进制文件的分析任务。这个工具由 LaurieWired 在 GitHub 上开发，发布于 2025 年 3 月。它适合安全研究人员、程序员或对逆向工程感兴趣的用户使用。GhidraMCP 的出现，让原本复杂的手动分析变得更高效，尤其是针对恶意软件分析和漏洞发现等场景。

Liste des fonctions

• 自动化逆向工程：通过 AI 控制 Ghidra，自动分析二进制文件。
• 方法和数据重命名：识别代码中的方法和数据，自动生成更易读的名称。
• 二进制文件解析：列出文件的函数、类、导入和导出信息。
• 恶意软件分析支持：帮助发现潜在的安全漏洞和恶意行为。
• Prise en charge de plusieurs MCP 客户端：兼容 Claude Desktop、5ire 等客户端。
• 开源可定制：用户可以根据需要修改代码或扩展功能。

Utiliser l'aide

Processus d'installation

GhidraMCP 需要配合 Ghidra 和 MCP 客户端使用。以下是详细的安装步骤：

1. Préparation de l'environnement
   • 确保已安装 Ghidra。Ghidra 是由美国国家安全局（NSA）开发的开源逆向工程工具，可从 Ghidra 官网 下载。
   • 安装 Python 环境，推荐使用 Python 3.8 或更高版本，因为部分脚本依赖 Python。
   • 下载 GhidraMCP。从 GitHub 仓库 点击 "Releases"，获取最新版本的 ZIP 文件。
2. 安装 Ghidra 插件
   • 解压下载的 GhidraMCP ZIP 文件，找到插件文件（通常是 .zip (Format).
   • 打开 Ghidra，进入菜单 File -> Install Extensions.
   • 点击 "+" 按钮，选择解压后的插件文件，确认后重启 Ghidra。
   • 插件安装完成后，GhidraMCP 的功能会自动集成到 Ghidra 中。
3. Configuration du client MCP
   GhidraMCP 需要一个 MCP 客户端来连接 AI。以下以 Claude Desktop 和 5ire 为例：
   • Claude Desktop 配置
     • 打开 Claude Desktop，进入 Settings -> Developer -> Edit Config.
     • Modifier le fichier de configuration claude_desktop_config.jsonajouter ce qui suit :

       {
       "mcpServers": {
       "ghidra": {
       "command": "python",
       "args": ["/你的绝对路径/bridge_mcp_ghidra.py"]
       }
       }
       }
       

     • sécurisé bridge_mcp_ghidra.py 文件路径正确，这个文件在 GhidraMCP 下载包中。
   • 5ire 配置
     • 打开 5ire，进入 Tools -> New.
     • 在设置中输入 GhidraMCP 的路径和参数，保存配置。
   • 配置完成后，启动客户端，AI 就能通过 MCP 协议与 Ghidra 通信。
4. Vérifier l'installation
   • 打开 Ghidra，加载一个二进制文件（比如 .exe peut-être .bin).
   • 在 MCP 客户端中输入指令，比如“分析这个文件的所有函数”。如果返回结果正常，说明安装成功。

Principales fonctions

• 自动化分析二进制文件
  • 在 Ghidra 中打开目标文件后，切换到 MCP 客户端。
  • 输入自然语言指令，例如“列出所有函数并重命名”。AI 会自动调用 Ghidra 的功能，分析文件并返回结果。
  • 结果会显示在客户端界面，通常包括函数列表和自动生成的新名称。
• 重命名方法和数据
  • 在客户端输入“重命名所有未命名函数”。AI 会根据上下文猜测函数用途，并给出更直观的名称。
  • 如果需要手动调整，重命名后的结果会同步到 Ghidra 的代码视图。
• 恶意软件分析
  • 加载恶意软件样本后，输入“检查潜在漏洞”或“查找恶意行为”。
  • AI 会扫描文件的导入表、字符串和调用关系，返回可能的安全问题，比如可疑的网络请求或文件操作。

flux de travail

1. 启动 Ghidra 和 MCP 客户端。
2. 在 Ghidra 中导入二进制文件，点击“Analyze”开始初步解析。
3. 切换到 MCP 客户端，输入分析指令，比如“提取所有字符串”或“分析函数调用”。
4. 查看返回结果，根据需要调整指令或手动检查细节。
5. 保存分析结果，Ghidra 支持导出为项目文件，方便后续使用。

mise en garde

• 确保网络畅通，部分 AI 模型需要在线调用。
• 如果遇到错误，检查 bridge_mcp_ghidra.py 的路径是否正确，或查看 GitHub 上的 Issues 页面寻求帮助。
• 对于大型文件，分析可能需要更多时间，建议先测试小型样本。

scénario d'application

1. 恶意软件研究
   安全研究人员可以用 GhidraMCP 快速分析病毒或木马，找出恶意代码的执行逻辑和隐藏功能。
2. 软件漏洞挖掘
   开发者可以用它检查二进制文件，寻找潜在的安全漏洞，比如缓冲区溢出或未授权访问。
3. 学习逆向工程
   新手可以通过 AI 辅助，快速理解二进制文件的结构和功能，降低学习门槛。

QA

1. GhidraMCP 支持哪些操作系统？
   它兼容 Ghidra 支持的所有系统，包括 Windows、Mac 和 Linux。
2. Expérience en programmation requise ?
   不需要。安装和基本使用只需按步骤操作。但如果想定制功能，懂 Java 或 Python 会更有优势。
3. Peut-il être utilisé hors ligne ?
   可以，但部分 AI 模型需要联网。如果用本地模型，就能完全离线运行。