开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何在Ghidra中导出函数的二进制代码(Ghidra脚本)

在Ghidra中导出函数的二进制代码可以通过编写一个Ghidra脚本来实现。以下是一个示例脚本，它可以导出选定函数的二进制代码：

# 导入Ghidra相关模块
from ghidra.app.decompiler import DecompInterface

# 获取当前活动程序
currentProgram = getCurrentProgram()

# 获取用户选定的函数
selectedFunction = getFirstFunction()

# 初始化反编译接口
decompiler = DecompInterface()
decompiler.openProgram(currentProgram)

# 导出函数的二进制代码
if selectedFunction:
    # 获取函数的起始地址和长度
    startAddress = selectedFunction.getEntryPoint()
    length = selectedFunction.getLength()

    # 获取函数的二进制代码
    codeBytes = currentProgram.getMemory().getBytes(startAddress, length)

    # 将二进制代码保存到文件
    outputFile = askFile("选择保存位置", "保存函数的二进制代码")
    with open(outputFile.getAbsolutePath(), "wb") as f:
        f.write(codeBytes)

使用上述脚本的步骤如下：

打开Ghidra软件，并加载要分析的二进制文件。
在Ghidra的函数列表中选择要导出二进制代码的函数。
打开脚本编辑器（Script Manager）。
创建一个新的脚本，并将上述示例脚本复制粘贴到编辑器中。
点击运行按钮来执行脚本。
弹出文件选择对话框，选择保存导出的二进制代码的位置和文件名。
点击保存按钮，脚本将导出选定函数的二进制代码到指定的文件中。

这样，你就可以在Ghidra中导出函数的二进制代码了。

请注意，以上脚本仅提供了一个基本的示例，你可以根据自己的需求进行修改和扩展。此外，Ghidra还提供了丰富的API和功能，可以用于更复杂的二进制代码分析和处理任务。你可以参考Ghidra的官方文档和示例脚本来深入学习和使用。

相关搜索:要执行的代码应放在由全局脚本导出的默认函数中在函数中导出的bash脚本中的变量如何在expect脚本中使用bash脚本中的导出变量？如何在python中获得一个干净的函数签名，如代码库所示？pocketsphinx中的许多函数(如bin_mdef_free)不能导出到Windows上的库中如何在React中模拟或SpyOn导出的函数如何在c中打印文件的二进制代码？在同一函数中获取expect脚本的退出代码如何在Angular 4中处理重复的HTML代码，如页眉和页脚？如何在Angular的服务类中访问库中的导出函数？如何在Node.js模块中引用导出的函数如何在组件原生脚本中显示函数中的数据？如何在shell脚本中为函数的参数赋值如何在shell脚本中创建接收参数的函数？如何在div中插入java脚本函数的元素？如何在REPL中打印Julia中函数的代码？如何在c#中捕获powershell脚本中的退出代码如何在Jest中测试带有命名导出常量的函数？如何在javascript函数中编写构建html中的脚本标记？我无法将函数中的变量传递给Shell脚本中的主代码

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

开源Ghidra逆向工程的百宝书来了

👆点击“博文视点Broadview”，获取更多书讯 Ghidra 第一次出现在公众视野是在 2017 年 3 月，当时维基解密开始泄露 Vault 7 文档，这是美国中央情报局（CIA）最大的机密文件泄漏事件，该文档包括各种秘密网络武器和间谍技术。其中，Vault 7 的第一部分包括恶意软件库、0day 武器化攻击，以及如何控制苹果的 iPhone、谷歌的 Android和微软的 Windows 设备。和 Ghidra 相关的内容就位于这一部分，包括最新版本的软件和安装使用手册。很难说是不是当年的泄露

02

Sekiryu：一款针对Ghidra Headless模式的综合性安全工具

Sekiryu是一款针对Ghidra Headless模式的综合性安全工具，该工具旨在简化Ghidra在以Headless模式下运行时的相关任务执行，并以自动化的形式实现这一任务。该工具提供了一系列可以在Ghidra内部执行的脚本，支持用户在分析代码库的同时执行漏洞检测、使用ChatGPT进行伪代码注释以及使用数据可视化的方法声称安全报告。除此之外，该工具还允许广大研究人员根据需求加载和保存自己的脚本，并于脚本的内置API进行交互。

01

WebAssembly入门笔记[2]：利用Memory传递字节数据

利用灵活的“导入”和“导出”机制，WebAssembly与承载的JavaScript应用之间可以很便利地“互通有无”。《与JavaScript的交互》着重演示了如何利用函数的导入和导出实现功能的共享，接下来我们主要关注数据的传递或者共享。宗地来说，WebAssembly与宿主程序之间的数据传递主要有如下三种手段，本篇文章主要关注Memory。源代码下载：app3 app4

01

c#封装动态库_nginx调用so动态库

一直对动态库的封装理解不是很透彻，虽然之前写过一个Demo，不过并没有真正的理解。所以写下来，帮助自己理解下。

02

BinAbsInspector：一款针对二进制代码的漏洞扫描和逆向分析工具

关于BinAbsInspector BinAbsInspector是一款针对二进制文件的静态分析工具，在该工具的帮助下，广大研究人员能够以自动化的形式对二进制文件进行逆向工程分析，并尝试扫描和识别其中潜在的安全漏洞。该项目是Keenlab长期维护的一个研究项目，并基于Ghidra实现其功能。当前版本的BinAbsInspector支持x86、x64、armv7和aarch64架构上的二进制文件。已实现的检测器当前版本的BinAbsInspector已经实现了下列检测器： CWE78（操作系统命

01

手把手教你使用Ghidra逆向移动应用程序

众所周知，Ghidra是一个免费的开源软件，可以对包括移动应用程序在内的可执行程序（二进制）进行逆向工程分析。Ghidra支持在多个操作系统平台上安装和使用，包括Windows、Linux和MacOS。

01

绝大部分测试和开发人员都不知道的DLL

1. Kernel32.dll 它包含那些用于管理内存、进程和线程的函数，例如CreateThread函数；

02

IDA Pro 工具介绍

*转载请注明来自游戏安全实验室（GSLAB.QQ.COM）原文地址:http://gslab.qq.com/article-112-1.html IDA Pro（交互式反汇编其专业版，后续简称为ID

07

无招胜有招：看我如何通过劫持COM服务器绕过AMSI

在Windows 10中，Microsoft的反恶意软件扫描接口（AMSI）被作为新功能被引入，作为标准接口，该功能可以让反病毒引擎将特征规则应用于机器的内存和磁盘上的缓冲区中去。这使的反病毒产品能够

07

【操作系统】动态链接库

DLL就是整个windows操作系统的基础。动态链接库不能直接运行，也不能接收消息。他们就是一些独立的文件。

02

App逆向 Frida - 夜神模拟器安装配置基本使用

Frida 是一款基于 Python + JavaScript 的 Hook 与调试框架，实现app逆向的强大工具；模拟器下载安装教程：https://blog.csdn.net/EXIxiaozhou/article/details/127767808

01

HCRootkit Sutersu Linux Rootkit 分析

1、Lacework Labs在Avast公司的同事最近初步的鉴定基础之上，标识出与 HCRootkit / Sutersu Linux Rootkit活动相关的新样本和基础设施。

02

12、动态链接库,dll

动态链接库通常都不能直接运行，也不能接收消息。它们是一些独立的文件，其中包含能被可执行程序或其它DLL调用来完成某项工作的函数。只有在其它模块调用动态链接库中的函数时，它才发挥作用。

02

从Rust到远方：WebAssembly 星系

来源：https://mnt.io/2018/08/22/from-rust-to-beyond-the-webassembly-galaxy/

02

[译] 威胁分析报告：11.深入了解Zebrocy的Dropper文档（APT28）

该专栏主要翻译国外知名安全厂商的APT报告，了解它们的安全技术，学习它们溯源APT组织和恶意代码分析的方法，希望对您有所帮助。当然，由于作者英语有限，会借助机翻进行校验，还请包涵！

02

Spartacus：一款功能强大的DLL劫持发现工具

Spartacus是一款功能强大的DLL劫持发现工具，当一个易受DLL劫持攻击的进程请求加载DLL时，就有可能发生DLL劫持攻击。在该工具的帮助下，广大安全研究人员可以轻松识别和发现DLL劫持攻击的发生。

01

二进制程序分析指南

分析恶意软件的第一步是收集二进制程序在主机上执行的行为事件，研究人员根据这些行为大体形成一个思路来描述恶意软件的功能。

01

Polypyus：一款功能强大的固件源码分析工具

Polypyus Polypyus支持从相似的二进制文件中提取出已知函数，并以此来学习如何再原始二进制文件中定位函数。该工具是一个固件源码分析工具，它不需要对二进制文件进行反汇编，这就是它的一个很大的优势，因为有些二进制文件的反汇编是比较困难的。除此之外，该工具仅对二进制源码进行分析，因此它的执行速度非常快，在几秒钟之内即可完成。但是，该工具所使用的方法要求二进制文件使用相同的体系结构，并且具有类似的编译器选项。 Polypyus支持集成到现有工具的工作流中，比如说Ghidra、IDA、BinDiff和Di

00

IDA pro简介

本周分享的工具是IDA Pro 7.0。IDA Pro全称是交互式反汇编器专业版（Interactive Disassembler Professional），简称IDA，它是一种典型的递归下降反汇编器。IDA并非免费软件，但Hex-Rays公司提供了一个功能有限的免费版本。IDA是Windows，Linux或Mac OS X托管的多处理器反汇编程序和调试程序，它提供了许多功能，是一款很强大的静态反编译工具。支持很多插件和python，利用一些插件可以提供很多方便的功能大大减少工作量，在CTF中，逆向和pwn都少不了它，更多强大的功能等待童鞋们自己去学习挖掘，三言两语讲不完。它支持数十种CPU指令集其中包括Intel x86，x64，MIPS，PowerPC，ARM，Z80，68000，c8051等等。 IDA pro7.0（绿色英文版）和部分插件+ 《IDAPro权威指南第2版》已经上传至群文件，来源于：吾爱破解论坛。论坛也有汉化版，英文原版本习惯了都一样。看雪有一个 IDA pro插件收集区，大家有需要也可以去那找https://bbs.pediy.com/forum-53.htm

03

在windows程序中嵌入Lua脚本引擎--建立一个简易的“云命令”执行的系统

在《在windows程序中嵌入Lua脚本引擎--使用VS IDE编译Luajit脚本引擎》开始处，我提到某公司被指责使用“云命令”暗杀一些软件。本文将讲述如何去模拟一个简易的“云指令”执行系统。（转载请指明出于breaksoftware的csdn博客）

02

"揭开Citrix Gateway XSS漏洞的破解：逆向工程揭示可利用的缺陷"

在这种情况下，我们只关注VPN组件（Citrix Gateway）。根据最新的数据，大约有约50,000个Citrix Gateway实例是公开可访问的。因此，即使是像跨站脚本这样的小问题也可能产生巨大影响。

01

BypassUAC

伪装进程的方式其实也可以算做借助了白名单，但是没有直接调用白名单进程，所以单独列出来了。

03

Functrace：使用DynamoRIO追踪函数调用

Functrace是一款使用DynamoRIO（http://dynamorio.org/）通过动态检测分析二进制文件的工具。

02

Ghidra：这个来自NSA的软件逆向工程工具终于来啦！

是的，大家没有看错！Ghidra完全出自NSA之手，它是一款软件逆向工程（SRE）框架，由美国国家安全局研究理事会负责开发、升级和维护。这款框架包含了一整套功能齐全的高级软件分析工具，可以帮助广大研究人员在各种常见系统平台上进行源代码分析，其中包括Windows、macOS和Linux。

02

怎样Hack Linux的内核符号？

Inline Hook技术能够帮助我们完成函数的动态拦截和跳转，但要实现缺陷函数的自动化热修复则会面临更加复杂的挑战。本文从一个实际例子出发，阐述了在对二进制形式的Linux固件做自动化安全加固的时遇到的技术难题和解决办法。

01

把 WebAssembly 用于提升速度和代码重用[每日前端夜话0xBC]

有这样一种技术，可以把用高级语言编写的非 Web 程序转换成为 Web 准备的二进制模块，而无需对 Web 程序的源代码进行任何更改即可完成这种转换。浏览器可以有效地下载新翻译的模块并在沙箱中执行。执行的 Web 模块可以与其他 Web 技术无缝地交互 - 特别是 JavaScript（JS）。欢迎来到WebAssembly。

04

跟我一起学习pybind11 之一

pybind11是一个轻量级的“Header-only”的库，它将C++的类型暴露给Python，反之亦然。主要用于将已经存在的C++代码绑定到Python。pybind11的目标和语法都类似于boost.python库。利用编译时的内省来推断类型信息。

03

关于DLL注入的理解

DLL注入方式较多，包括API拦截与替换、消息钩子、远程进程注入。通常这些注入都是针对第三方程序（下面简称目标程序）的操作。

02

趋势OfficeScan系列产品漏洞分析

作者 Shadowkeeper OfficeScan是趋势科技开发的一套专为网路环境的桌上型电脑和行动用户端所提供的即时、全面的防毒解决方案。安全公司Silent Signal一位研究人员年初通过分析OSCE 10.6 sp1，发现可以通过一系列低危漏洞达到远程执行代码的目的，以下为翻译原文：分析安防软件的安全性是我最喜欢的研究领域之一：安防软件原本是为了保护你的系统，但经常可以讽刺的看到,它为攻击者打开一扇敞开的大门。今年早些时候，我偶然发现趋势科技的OfficeScan安全套件(一种可能不多见的主机防

08

Ghidra第一讲,常用快捷键.

Ghidra是由美国国家安全局（NSA）研究部门开发的软件逆向工程（SRE）套件，用于支持网络安全任务. 其实说白了堪比IDA 是一个新的逆向工具,大家有必要学习一下.

03

IOT漏洞研究：Web服务

路由器、防火墙、NAS和摄像头等由于功能复杂，为方便交互一般都会提供web管理服务，和服务器web相比，IOT的web功能较为简单，也就避免了一些复杂功能存在的漏洞，但是由于嵌入式设备的硬件瓶颈，设备自身的安全检测与防护能力有限，也就增加了其安全风险。 IoT Web服务 IOT web常采用开源框架+自研模块的方式，漏洞特点也较为明显： (一) 自研CGI模块中存在漏洞的概率较高，漏洞差异性大 (二) 开源框架(可能的)漏洞广泛存在各种设备，漏洞同源性强虽然具体漏洞存在差异，但常见的大致分为几类。 2.

01

ghidra_9.0使用入门

昨天就听说NSA公开了这套工具，通过朋友下载使用了一下，感觉还行其实一些功能和ida差不多。这里写个简单的入门使用教程

02

msi的简单使用

Windows Installer 使用安装包，其中包含 Windows Installer 需要安装、卸载或修复产品以及运行安装程序用户界面 (UI) 的信息。每个安装包都包含一个.msi文件，该文件包含安装数据库、摘要信息流和安装的各个部分的数据流。

03

WebAssembly入门笔记[1]：与JavaScript的交互

前一阵子利用Balazor开发了一个NuGet站点，对WebAssembly进行了初步的了解，觉得挺有意思。在接下来的一系列文章中，我们将通过实例演示的方式介绍WebAssembly的一些基本概念和编程模式。首先我们先来说说什么是WebAssembly，它主要帮助我们解决什么问题。

01

com组件与dll的区别_组件对象模型

com英文为Component Object Model（组件对象模型），是微软生产软件组件的标准。

04

Go学习_30_Golang代码性能分析工具

Golang内置了一些性能分析工具，可以将性能分析的结果文件输出，我们可以使用图形化的工具查看分析结果，在使用这些工具之前，我们需要安装一些工具，以便于查看分析文件。

07

工具丨用C语言扩展Python的功能

一、简介 Python是一门功能强大的高级脚本语言，它的强大不仅表现在其自身的功能上，而且还表现在其良好的可扩展性上，正因如此，Python已经开始受到越来越多人的青睐，并且被屡屡成功地应用于各类大型软件系统的开发过程中。与其它普通脚本语言有所不同，Python程序员可以借助Python语言提供的API，使用C或者C++来对Python进行功能性扩展，从而即可以利用Python方便灵活的语法和功能，又可以获得与C或者C++几乎相同的执行性能。执行速度慢是几乎所有脚本语言都具有的共性，也是倍受人们指责的一个

09

从Windows 10 SSH-Agent中提取SSH私钥

在这个周末我安装了Windows 10 Spring Update，最令我期待的就是它的内置OpenSSH工具，这意味着Windows管理员不再需要使用Putty和PPK格式的密钥了。随后，我花了些时间来探索并了解该版本所支持的特性。最终没有令我失望，我惊喜地看到ssh-agent.exe也被包含在内。在MSDN的一篇关于使用新Windows ssh-agent文章的以下部分，引起了我的注意：

03

红蓝对抗之如何利用Shellcode来躲避安全检测

对于红队安全研究团队来说，一次成功的渗透测试必须是不被目标系统发现的，随着现代终端检测和响应（EDR）产品日趋成熟，红队也必须随之每日俱进。在这篇文章中，我们将跟大家介绍FireEye Mandiant红队研究人员如何通过构造特殊Payload来绕过现代EDR产品，并获取到目标系统的完整命令控制访问权。

03

在 Go 语言中 Patch 非导出函数

TLDR; 使用 supermonkey[1] 可以 patch 任意导出/非导出函数。

03

逆向初级-PE（五）

5.1.PE文件结构 1、什么是可执行文件? 可执行文件(executable fle)指的是可以由操作系统进行加载执行的文件。可执行文件的格式: Windows平台: PE(Portabl

03

WebAssembly的一知半解

随着互联网的发展，网络应用变得越来越复杂，如3d可视化、音视频软件以及大型网络游戏。因此，代码的效率和安全性变得更加重要。WebAssembly 是一个可移植的底层字节码，它通过提供紧凑的表示、高效的验证和编译以及低开销甚至零开销的安全执行来满足这些需求。它不仅是一个特定的编程模型，而且是独立于语言和平台的一个现代硬件抽象。

02

VS2005环境下的DLL应用

以前写过一篇题为《VC++的DLL应用（含Demo演示）》的文章，当时是刚开始接触DLL，而且所讲到的一些DLL的应用都是比较浅层次的数据传递，基本不具备很强的实用性，而且所选用的开发环境是VC6.0，这次因为做做WinCE开发的过程中需要用到这个技术，所以进行了比较深入的研究，而且此次用的是VS2005开发环境，对比VC6.0的一些操作略有不同，所以重新进行了整理。

02

Python3 加密解密技术详解

引言 Python 3 的标准库中没多少用来解决加密的，不过却有用于处理哈希的库。在这里我们会对其进行一个简单的介绍，但重点会放在两个第三方的软件包：PyCrypto 和 cryptography 上。我们将学习如何使用这两个库，来加密和解密字符串哈希 1.哈希简介使用标准库中的 hashlib 模块可以用来处理安全哈希算法或者消息摘要算法。这个模块包含了符合 FIPS（美国联邦信息处理标准）的安全哈希算法，例如 SHA1，SHA224，SHA256，SHA384，SHA512 以及 RSA 的

05

2.6 PE结构：导出表详细解析

导出表（Export Table）是Windows可执行文件中的一个结构，记录了可执行文件中某些函数或变量的名称和地址，这些名称和地址可以供其他程序调用或使用。当PE文件执行时Windows装载器将文件装入内存并将导入表中登记的DLL文件一并装入，再根据DLL文件中函数的导出信息对可执行文件的导入表(IAT)进行修正。

02

JS与ES6高级编程学习笔记（五）——ECMAScript6 代码组织

ES6不仅在语法上有很大的改进，在代码的组织结构上也有重大升级，ES6中新增加了像Set、WeakSet、Map、WeakMap、ArrayBuffer、TypedArray和DataView等数组结构；原生的模块化解决了复用、依赖、冲突、代码组织混乱的问题，让开发复杂的前端项目变得更加容易；类（class）的加入使JavaScript面向对象更加易于理解。

02

快 11K Star 的 WebAssembly，你应该这样学

长期以来，VM 只能加载 JS 运行，JS 可能足够满足我们的需求，但如今我们却遇到了各种性能问题，如 3D 游戏、VR/AR、计算机视觉、图片/视频编辑、以及其他需要原生性能的领域。

02

2.6 PE结构：导出表详细解析

导出表（Export Table）是Windows可执行文件中的一个结构，记录了可执行文件中某些函数或变量的名称和地址，这些名称和地址可以供其他程序调用或使用。当PE文件执行时Windows装载器将文件装入内存并将导入表中登记的DLL文件一并装入，再根据DLL文件中函数的导出信息对可执行文件的导入表(IAT)进行修正。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭