Aprendizagem pessoal com IA
e orientação prática
讯飞绘镜

GhidraMCP: uma ferramenta de engenharia reversa para conectar IA com Ghidra

Introdução geral

O GhidraMCP é uma ferramenta de código aberto com o objetivo principal de combinar a Inteligência Artificial (IA) com o Ghidra, um poderoso software de engenharia reversa. Ela automatiza a tarefa de analisar arquivos binários, permitindo que grandes modelos de linguagem (LLMs) operem diretamente no Ghidra por meio do protocolo MCP (Model Context Protocol). Essa ferramenta foi desenvolvida pela LaurieWired no GitHub e lançada em março de 2025. Ela é adequada para pesquisadores de segurança, programadores ou usuários interessados em engenharia reversa. O GhidraMCP veio para tornar mais eficientes análises manuais complexas, especialmente em cenários como análise de malware e descoberta de vulnerabilidades.

GhidraMCP:连接AI与Ghidra的逆向工程工具-1


 

Lista de funções

  • Engenharia reversa automatizada: controle a Ghidra por meio de IA para analisar automaticamente os binários.
  • Renomeação de métodos e dados: identifique métodos e dados em seu código e gere automaticamente nomes mais legíveis.
  • Análise de arquivo binário: lista as funções, as classes e as informações de importação e exportação do arquivo.
  • Suporte à análise de malware: ajuda a identificar possíveis vulnerabilidades de segurança e comportamento malicioso.
  • Suporta vários MCP Cliente: Compatível Claude Desktop, 5ire e outros clientes.
  • Código aberto e personalizável: os usuários podem modificar o código ou ampliar a funcionalidade conforme necessário.

 

Usando a Ajuda

Processo de instalação

O GhidraMCP é necessário para trabalhar com clientes Ghidra e MCP. Veja a seguir as etapas detalhadas de instalação:

  1. Preparação do ambiente
    • Certifique-se de ter instalado o Ghidra, uma ferramenta de engenharia reversa de código aberto desenvolvida pela National Security Agency (NSA) que pode ser baixada do site do Ghidra.
    • Instale o ambiente Python; recomenda-se o Python 3.8 ou superior porque alguns dos scripts dependem do Python.
    • Faça o download do GhidraMCP. no repositório do GitHub Clique em "Releases" para obter a versão mais recente do arquivo ZIP.
  2. Instalando o plug-in Ghidra
    • Descompacte o arquivo ZIP do GhidraMCP baixado e localize o arquivo do plug-in (geralmente o arquivo .zip (Formato).
    • Abra o Ghidra e vá para o menu File -> Install Extensions.
    • Clique no botão "+" para selecionar o arquivo de plug-in extraído, confirme e reinicie o Ghidra.
    • Depois que o plug-in é instalado, a funcionalidade do GhidraMCP é automaticamente integrada ao Ghidra.
  3. Configuração do cliente MCP
    O GhidraMCP requer um cliente MCP para se conectar ao AI. A seguir, um exemplo do Claude Desktop e do 5ire:

    • Configuração da área de trabalho do Claude
      • Abra o Claude Desktop e vá para Settings -> Developer -> Edit Config.
      • Editar arquivo de configuração claude_desktop_config.jsonAdicione o seguinte:
        {
        "mcpServers": {
        "ghidra": {
        "command": "python",
        "args": ["/你的绝对路径/bridge_mcp_ghidra.py"]
        }
        }
        }
        
      • seguro bridge_mcp_ghidra.py O caminho do arquivo está correto, esse arquivo está no pacote de download do GhidraMCP.
    • Configuração de 5 fios
      • Abra o 5ire e vá para Tools -> New.
      • Digite o caminho e os parâmetros do GhidraMCP nas configurações e salve a configuração.
    • Quando a configuração estiver concluída, inicie o cliente e a IA poderá se comunicar com a Ghidra por meio do protocolo MCP.
  4. Verificar a instalação
    • Abra o Ghidra e carregue um arquivo binário (por exemplo .exe talvez .bin).
    • Digite um comando no cliente MCP, por exemplo, "Analyse all functions of this file" (Analisar todas as funções deste arquivo). Se o resultado do retorno for normal, a instalação foi bem-sucedida.

Funções principais

  • Análise automatizada de arquivos binários
    • Depois de abrir o arquivo de destino no Ghidra, mude para o cliente MCP.
    • Insira um comando de linguagem natural, como "listar todas as funções e renomeá-las", e a IA chamará automaticamente as funções da Ghidra, analisará o arquivo e retornará os resultados.
    • Os resultados são exibidos na interface do cliente e geralmente incluem uma lista de funções e novos nomes gerados automaticamente.
  • Renomear métodos e dados
    • No lado do cliente, digite "rename all unnamed functions" (renomeie todas as funções sem nome). A IA adivinhará para que a função é usada com base no contexto e lhe dará um nome mais intuitivo.
    • Se forem necessários ajustes manuais, o resultado renomeado será sincronizado com a visualização de código da Ghidra.
  • Análise de malware
    • Após carregar a amostra de malware, digite "Check for potential vulnerabilities" (Verificar possíveis vulnerabilidades) ou "Find malicious behaviour" (Localizar comportamento malicioso).
    • A IA examina as tabelas de importação, as cadeias de caracteres e os relacionamentos de chamada do arquivo, retornando possíveis problemas de segurança, como solicitações de rede ou operações de arquivo suspeitas.

fluxo de trabalho

  1. Inicie os clientes Ghidra e MCP.
  2. Importe o arquivo binário no Ghidra e clique em "Analyze" para iniciar a análise inicial.
  3. Mude para o cliente MCP e digite um comando de análise, como "extrair todas as cadeias de caracteres" ou "analisar chamadas de função".
  4. Veja os resultados retornados, ajuste as instruções conforme necessário ou verifique manualmente os detalhes.
  5. Ao salvar os resultados da análise, a Ghidra suporta a exportação para um arquivo de projeto para uso posterior.

advertência

  • Certifique-se de que a rede esteja aberta, pois alguns modelos de IA precisam ser chamados on-line.
  • Se você encontrar um erro, verifique o bridge_mcp_ghidra.py ou consulte a página de problemas no GitHub para obter ajuda.
  • Para arquivos grandes, a análise pode levar mais tempo e é recomendável testar primeiro pequenas amostras.

 

cenário do aplicativo

  1. Pesquisa de malware
    Os pesquisadores de segurança podem usar o GhidraMCP para analisar rapidamente vírus ou cavalos de Troia e encontrar a lógica de execução e as funções ocultas do código malicioso.
  2. Mineração de vulnerabilidades de software
    Os desenvolvedores podem usá-lo para inspecionar os binários em busca de possíveis falhas de segurança, como estouro de buffer ou acesso não autorizado.
  3. Aprenda engenharia reversa
    Os iniciantes podem entender rapidamente a estrutura e a função dos arquivos binários com a assistência da IA, reduzindo o limite de aprendizado.

 

QA

  1. Quais sistemas operacionais são compatíveis com o GhidraMCP?
    Ele é compatível com todos os sistemas suportados pela Ghidra, incluindo Windows, Mac e Linux.
  2. É necessário ter experiência em programação?
    Não é necessário. A instalação e o uso básico são um processo passo a passo. No entanto, se você quiser personalizar a funcionalidade, o conhecimento de Java ou Python é uma vantagem.
  3. Ele pode ser usado off-line?
    Sim, mas alguns dos modelos de IA precisam estar conectados em rede. Se você usar modelos locais, poderá executá-los totalmente off-line.
Não pode ser reproduzido sem permissão:Chefe do Círculo de Compartilhamento de IA " GhidraMCP: uma ferramenta de engenharia reversa para conectar IA com Ghidra
pt_BRPortuguês do Brasil