セキュリティ系の勉強、その他開発メモとか雑談. GithubはUnity触っていた頃ものがメイン Twitterフォローもよろしくです

【Ghidra】wsock32.dllの関数名解決(Ordinal_N)

//

環境

ubuntu 18.04
Ghidra 9.1

やること

GhidraAuto Analysisでインポートしたファイルを分析させると、KERNEL32.DLLの関数名はしっかり紐づけてくれるのですが、他のものはうまくできず、Ordinal_(数字)となったりします。ので、これを上手く解決したい。

f:id:thinline196:20191114225705p:plain:w250


ここで同じ質問がされています

Ablity to load external libraries after loading a project · Issue #396 · NationalSecurityAgency/ghidra · GitHub

MFC42D.DLL Ordinal vs Name Question · Issue #316 · NationalSecurityAgency/ghidra · GitHub


解決

このリポジトリを使わさせていただきます。

github.com

  1. リポジトリをローカルに保存
  2. symbolsディレクトリを~/.ghidra/.ghidra_9.1_PUBLIC/にコピーします。(すでにある場合はうまいことやってください。.exportsファイルが肝です)
  3. Ghidraを再起動後、もう一度解析対象ファイルをimportしなおします。


これでいい感じになります。listingdecompilerでも上手く表示されるようです。

f:id:thinline196:20191114231814p:plain:w250