Sigcheck 是一种命令行实用工具，可显示文件版本号、时间戳信息和数字签名详细信息（例如证书链）。 它还提供一个用于在 VirusTotal 上检查文件状态的选项、一个针对 40 多个防病毒引擎执行自动文件扫描的站点，以及一个用于上传文件以供扫描的选项。

https://learn.microsoft.com/zh-cn/sysinternals/downloads/sigcheck

一、Ghidra的用途

Ghidra是由美国国家安全局（NSA）开发的开源逆向工程框架，主要用于：

1. 静态分析：在不执行代码的情况下分析二进制文件的结构、函数和逻辑。
2. 恶意软件分析：安全研究人员可安全地解剖恶意软件行为。
3. 漏洞研究：识别软件中的安全漏洞（如CVE分析）。
4. 跨平台支持：支持Windows、Linux、macOS及多种处理器架构（如x86、ARM、MIPS等）。
5. 团队协作：通过Ghidra Server实现多人协同分析。

与商业工具（如IDA Pro）相比，Ghidra的优势在于免费、开源、可定制性强。

可以通过Ghidra的项目主页或者GitHub进行下载：

https://Ghidra-sre.org

https://github.com/NationalSecurityAgency/Ghidra

二、Ghidra的使用方法

基础流程

1. 安装与环境配置：
   • 需安装JDK 11+。
   • 下载Ghidra压缩包并解压（官网或GitHub）。
2. 创建项目与导入文件：
   • 启动Ghidra → 创建新项目 → 导入目标二进制文件（如.exe、.elf等）。
3. 自动分析：
   • 导入后，Ghidra自动进行反汇编和基础分析（识别函数、数据类型等）。
   • 分析结果在CodeBrowser窗口展示，包括：

• 反汇编窗口（地址、操作码、汇编指令）
• 反编译窗口（伪C代码）
• 符号树（函数、变量列表）
• 交叉引用（函数调用关系）。

4. 手动分析工具：
   • 重命名变量/函数：右键点击符号→”Rename”。
   • 注释功能：添加注释解释代码逻辑。
   • 图形视图：通过”Function Graph”查看控制流图。
   • 字符串搜索：Windows > Defined Strings查找硬编码字符串。
5. 高级功能：
   • 脚本扩展：支持Python/Java脚本自动化任务（如批量重命名）。
   • 调试支持：集成调试器（如LLDB）用于动态分析。
   • 版本对比：使用”Version Tracking”比较二进制差异。

三、示例：分析恶意软件

以下以描述的恶意软件分析为例：

1. 目标：分析一个窃取敏感数据的恶意软件。
2. 步骤：
   • 步骤1：在Ghidra中创建项目，导入恶意软件样本。
   • 步骤2：自动分析后，查看Symbol Tree中的导入函数，发现WinHttpConnect（网络连接函数），推测恶意软件存在通信行为。
   • 步骤3：在反编译窗口定位该函数，发现其调用参数包含硬编码URL（如[https://malicious-server.com ](https://malicious-server.com )）。
   • 步骤4：使用”Defined Strings”搜索关键词”password”，找到疑似窃取凭证的代码段。
   • 步骤5：通过交叉引用追踪到加密函数（如CryptEncrypt），确认数据外传前会加密。
3. 结论：结合上述信息，判定恶意软件行为为”窃取用户凭证并加密传输至远程服务器”。

四、与其他工具的对比

• 优势：
  • 免费开源，社区活跃。
  • 反编译伪代码质量高（如清晰展示异或操作）。
  • 团队协作功能完善。
• 局限：
  • 动态调试能力较弱（需配合WinDbg等工具）。
  • 处理混淆代码时需手动干预。

五、适用场景

• 逆向工程新手：内置反编译器帮助理解汇编与高级语言的关联。
• 安全研究员：分析恶意软件、漏洞。
• 开发团队：协作分析闭源软件或固件。

注：证据显示Ghidra持续更新，如2022年支持Android二进制分析，2024年新增Windows RPC分析案例，建议使用最新版本（当前为10.1.2+）以获取最佳功能。

Cloud Enforcement Node Ranges

https://config.zscaler.com/zscaler.net/cenr

https://www.hackthelogs.com/

https://www.exploit-db.com/