セキュリティ系の勉強・その他開発メモとか雑談. Twitter, ブログカテゴリ一覧
本ブログはあくまでセキュリティに関する情報共有の一環として作成したものであり,公開されているシステム等に許可なく実行するなど、違法な行為を助長するものではありません.

【Ghidra】wsock32.dllの関数名解決(Ordinal_N)

//

環境

ubuntu 18.04
Ghidra 9.1

やること

GhidraAuto Analysisでインポートしたファイルを分析させると、KERNEL32.DLLの関数名はしっかり紐づけてくれるのですが、他のものはうまくできず、Ordinal_(数字)となったりします。ので、これを上手く解決したい。

f:id:thinline196:20191114225705p:plain:w250


ここで同じ質問がされています

Ablity to load external libraries after loading a project · Issue #396 · NationalSecurityAgency/ghidra · GitHub

MFC42D.DLL Ordinal vs Name Question · Issue #316 · NationalSecurityAgency/ghidra · GitHub


解決

このリポジトリを使わさせていただきます。

github.com

  1. リポジトリをローカルに保存
  2. symbolsディレクトリを~/.ghidra/.ghidra_9.1_PUBLIC/にコピーします。(すでにある場合はうまいことやってください。.exportsファイルが肝です)
  3. Ghidraを再起動後、もう一度解析対象ファイルをimportしなおします。


これでいい感じになります。listingdecompilerでも上手く表示されるようです。

f:id:thinline196:20191114231814p:plain:w250