ソフトウェアエンジニア必見：Ghidraで紐解くプログラムの秘密

NationalSecurityAgency/ghidra

ソフトウェアエンジニアリングの観点から、NationalSecurityAgency/ghidra、通称Ghidraがどのように役立つのか、導入方法、サンプルコードの例などを分かりやすく解説しますね。

新しい服を買うとき、サイズ感や素材、着回しなどをじっくり考えるように、ソフトウェアを深く理解したいときにも、Ghidraは強力なパートナーになります。

例えるなら、Ghidraは「完成した洋服の設計図を読み解くためのスーパーツール」です。

通常、ソフトウェアはプログラミング言語（C++、Javaなど）で書かれ、コンパイルされてコンピュータが直接実行できる形（実行ファイル）になります。この実行ファイルは、人間が読める元のコードとはかけ離れた、機械語の羅列です。

Ghidraは、この機械語の羅列を、人間が理解しやすい形に戻す「リバースエンジニアリング」を行うためのツールです。特に、以下のような機能が優れています。

ディスアセンブラ（Disassembler）
機械語を、アセンブリ言語という、より人間に近い形式に変換します。

デコンパイラ（Decompiler）
さらに一歩進んで、アセンブリ言語を、元のC言語のような高級言語のコードに近い形に変換します。これは非常に画期的な機能で、洋服の設計図の一部を復元するようなものです。

Ghidraは、主に以下のようなシーンで、私たちの大きな助けになります。

セキュリティ分析
マルウェア（悪意のあるソフトウェア）がどのように動作するのか、どんな攻撃を仕掛けてくるのかを分析します。これは、マルウェアの隠された意図を見抜くのに欠かせません。

脆弱性（セキュリティホール）の発見
既知のソフトウェアに潜むバグや脆弱性を探し出します。これは、洋服のほつれや破れを見つけ、修理するようなものです。

古いソフトウェアの解析
ソースコードが失われた古いソフトウェアの動作を解析し、現代の環境に移植したり、互換性を持たせたりする際に役立ちます。

互換性の問題解決
異なるOSやプラットフォームでプログラムが動かない原因を突き止めるのに使えます。

GhidraはJavaで開発されているため、Java Development Kit（JDK）が必須です。

JDKのインストール

Java 11以降のJDKをOracleの公式サイトやOpenJDKのサイトからダウンロードしてインストールします。

環境変数JAVA_HOMEを設定しておくことをお勧めします。

Ghidraのダウンロード

Ghidraの公式GitHubリポジトリ（NationalSecurityAgency/ghidra）から最新のリリース版をダウンロードします。

または、Ghidraの公式サイトからZIPファイルをダウンロードします。

Ghidraの起動

ダウンロードしたZIPファイルを任意の場所に展開（解凍）します。

展開したフォルダ内のghidraRun.bat（Windowsの場合）またはghidraRun（Linux/macOSの場合）を実行します。

これでGhidraのGUIが起動し、解析作業を開始できます。

Ghidraは、Javaでスクリプト（Ghidra Script）を書いて、解析を自動化したり、特定のタスクを実行したりすることができます。

ここでは、簡単なGhidraスクリプトの例を紹介します。このスクリプトは、ロードされたプログラム内のすべての関数を列挙し、その名前を出力します。

Ghidra Scriptのサンプルコード（Java）

// Import necessary classes from Ghidra's API
import ghidra.app.script.GhidraScript;
import ghidra.program.model.listing.Function;
import ghidra.program.model.listing.FunctionIterator;

public class ListFunctionsScript extends GhidraScript {

    @Override
    protected void run() throws Exception {
        // 現在開いているプログラム（プロジェクト）を取得
        println("--- プログラムの関数を列挙します ---");
        
        // プログラム内のすべての関数を反復処理するためのイテレータを取得
        FunctionIterator functionIterator = currentProgram.getFunctionManager().getFunctions(true);

        // 各関数に対してループ
        while (functionIterator.hasNext()) {
            Function function = functionIterator.next();
            
            // 関数の名前とアドレスを出力
            println("関数名: " + function.getName() + ", アドレス: " + function.getEntryPoint());
        }

        println("--- 処理が完了しました ---");
    }
}

このスクリプトの使い方

GhidraのGUIを起動し、解析したいプログラムを開きます。

メニューバーから「Window」>「Script Manager」を選択します。

「Script Manager」ウィンドウで、新しいスクリプトを作成します。

上記のコードを貼り付けて保存します。

作成したスクリプトを右クリックし、「Run」を選択すると、Ghidraのコンソールに出力結果が表示されます。