Introdução geral
O GhidraMCP é uma ferramenta de código aberto com o objetivo principal de combinar a Inteligência Artificial (IA) com o Ghidra, um poderoso software de engenharia reversa. Ela automatiza a tarefa de analisar arquivos binários, permitindo que grandes modelos de linguagem (LLMs) operem diretamente no Ghidra por meio do protocolo MCP (Model Context Protocol). Essa ferramenta foi desenvolvida pela LaurieWired no GitHub e lançada em março de 2025. Ela é adequada para pesquisadores de segurança, programadores ou usuários interessados em engenharia reversa. O GhidraMCP veio para tornar mais eficientes análises manuais complexas, especialmente em cenários como análise de malware e descoberta de vulnerabilidades.
Lista de funções
- Engenharia reversa automatizada: controle a Ghidra por meio de IA para analisar automaticamente os binários.
- Renomeação de métodos e dados: identifique métodos e dados em seu código e gere automaticamente nomes mais legíveis.
- Análise de arquivo binário: lista as funções, as classes e as informações de importação e exportação do arquivo.
- Suporte à análise de malware: ajuda a identificar possíveis vulnerabilidades de segurança e comportamento malicioso.
- Suporta vários MCP Cliente: Compatível Claude Desktop, 5ire e outros clientes.
- Código aberto e personalizável: os usuários podem modificar o código ou ampliar a funcionalidade conforme necessário.
Usando a Ajuda
Processo de instalação
O GhidraMCP é necessário para trabalhar com clientes Ghidra e MCP. Veja a seguir as etapas detalhadas de instalação:
- Preparação do ambiente
- Certifique-se de ter instalado o Ghidra, uma ferramenta de engenharia reversa de código aberto desenvolvida pela National Security Agency (NSA) que pode ser baixada do site do Ghidra.
- Instale o ambiente Python; recomenda-se o Python 3.8 ou superior porque alguns dos scripts dependem do Python.
- Faça o download do GhidraMCP. no repositório do GitHub Clique em "Releases" para obter a versão mais recente do arquivo ZIP.
- Instalando o plug-in Ghidra
- Descompacte o arquivo ZIP do GhidraMCP baixado e localize o arquivo do plug-in (geralmente o arquivo
.zip
(Formato). - Abra o Ghidra e vá para o menu
File -> Install Extensions
. - Clique no botão "+" para selecionar o arquivo de plug-in extraído, confirme e reinicie o Ghidra.
- Depois que o plug-in é instalado, a funcionalidade do GhidraMCP é automaticamente integrada ao Ghidra.
- Descompacte o arquivo ZIP do GhidraMCP baixado e localize o arquivo do plug-in (geralmente o arquivo
- Configuração do cliente MCP
O GhidraMCP requer um cliente MCP para se conectar ao AI. A seguir, um exemplo do Claude Desktop e do 5ire:- Configuração da área de trabalho do Claude
- Abra o Claude Desktop e vá para
Settings -> Developer -> Edit Config
. - Editar arquivo de configuração
claude_desktop_config.json
Adicione o seguinte:{ "mcpServers": { "ghidra": { "command": "python", "args": ["/你的绝对路径/bridge_mcp_ghidra.py"] } } }
- seguro
bridge_mcp_ghidra.py
O caminho do arquivo está correto, esse arquivo está no pacote de download do GhidraMCP.
- Abra o Claude Desktop e vá para
- Configuração de 5 fios
- Abra o 5ire e vá para
Tools -> New
. - Digite o caminho e os parâmetros do GhidraMCP nas configurações e salve a configuração.
- Abra o 5ire e vá para
- Quando a configuração estiver concluída, inicie o cliente e a IA poderá se comunicar com a Ghidra por meio do protocolo MCP.
- Configuração da área de trabalho do Claude
- Verificar a instalação
- Abra o Ghidra e carregue um arquivo binário (por exemplo
.exe
talvez.bin
). - Digite um comando no cliente MCP, por exemplo, "Analyse all functions of this file" (Analisar todas as funções deste arquivo). Se o resultado do retorno for normal, a instalação foi bem-sucedida.
- Abra o Ghidra e carregue um arquivo binário (por exemplo
Funções principais
- Análise automatizada de arquivos binários
- Depois de abrir o arquivo de destino no Ghidra, mude para o cliente MCP.
- Insira um comando de linguagem natural, como "listar todas as funções e renomeá-las", e a IA chamará automaticamente as funções da Ghidra, analisará o arquivo e retornará os resultados.
- Os resultados são exibidos na interface do cliente e geralmente incluem uma lista de funções e novos nomes gerados automaticamente.
- Renomear métodos e dados
- No lado do cliente, digite "rename all unnamed functions" (renomeie todas as funções sem nome). A IA adivinhará para que a função é usada com base no contexto e lhe dará um nome mais intuitivo.
- Se forem necessários ajustes manuais, o resultado renomeado será sincronizado com a visualização de código da Ghidra.
- Análise de malware
- Após carregar a amostra de malware, digite "Check for potential vulnerabilities" (Verificar possíveis vulnerabilidades) ou "Find malicious behaviour" (Localizar comportamento malicioso).
- A IA examina as tabelas de importação, as cadeias de caracteres e os relacionamentos de chamada do arquivo, retornando possíveis problemas de segurança, como solicitações de rede ou operações de arquivo suspeitas.
fluxo de trabalho
- Inicie os clientes Ghidra e MCP.
- Importe o arquivo binário no Ghidra e clique em "Analyze" para iniciar a análise inicial.
- Mude para o cliente MCP e digite um comando de análise, como "extrair todas as cadeias de caracteres" ou "analisar chamadas de função".
- Veja os resultados retornados, ajuste as instruções conforme necessário ou verifique manualmente os detalhes.
- Ao salvar os resultados da análise, a Ghidra suporta a exportação para um arquivo de projeto para uso posterior.
advertência
- Certifique-se de que a rede esteja aberta, pois alguns modelos de IA precisam ser chamados on-line.
- Se você encontrar um erro, verifique o
bridge_mcp_ghidra.py
ou consulte a página de problemas no GitHub para obter ajuda. - Para arquivos grandes, a análise pode levar mais tempo e é recomendável testar primeiro pequenas amostras.
cenário do aplicativo
- Pesquisa de malware
Os pesquisadores de segurança podem usar o GhidraMCP para analisar rapidamente vírus ou cavalos de Troia e encontrar a lógica de execução e as funções ocultas do código malicioso. - Mineração de vulnerabilidades de software
Os desenvolvedores podem usá-lo para inspecionar os binários em busca de possíveis falhas de segurança, como estouro de buffer ou acesso não autorizado. - Aprenda engenharia reversa
Os iniciantes podem entender rapidamente a estrutura e a função dos arquivos binários com a assistência da IA, reduzindo o limite de aprendizado.
QA
- Quais sistemas operacionais são compatíveis com o GhidraMCP?
Ele é compatível com todos os sistemas suportados pela Ghidra, incluindo Windows, Mac e Linux. - É necessário ter experiência em programação?
Não é necessário. A instalação e o uso básico são um processo passo a passo. No entanto, se você quiser personalizar a funcionalidade, o conhecimento de Java ou Python é uma vantagem. - Ele pode ser usado off-line?
Sim, mas alguns dos modelos de IA precisam estar conectados em rede. Se você usar modelos locais, poderá executá-los totalmente off-line.