[Hack] コード移植方法 with GHIDRA

GHIDRAとは

NSAが開発した逆アセンブラツールです。

しかも無料というのだから、これまたすごいの一言です。

IDA Proはものすごく便利なツールですが、ライセンス料が高いので導入のハードルがかなり高いです。

Ghidra

ghidra-sre.org

このサイトでダウンロードできるのでまずはGHIDRAを入手しましょう。

IDA ProでできることのほとんどがGHIDRAでできます。

プログラミングに最適なキーボードのご紹介

コーディングはとにかくキーボードを叩く作業なので、疲れにくいキーボードは必須です。

HHKBのような静電容量式のキーボード欲しいんだけど、今のキーボードなかなか壊れてくれません。

ところで、ぼくがメインで使っているFFKB67MRL/EBがいつの間にか生産終了しててキレてます。

Amazonほしい物リストを一緒に編集しましょう

www.amazon.jp

NSO to ELF

NSOはそのままではGHIDRAでひらけないのでELFに変換する必要があります。

GHIDRAに対応したLoaderがリリースされました！もうこの作業は不要です！！

64bitにしか対応していませんが、nx2elfというツールが変換に対応しているのでそれをビルドしたものを公開してあります。

tkgstrator/nx2elf

The tool to convert NSO to ELF. Contribute to tkgstrator/nx2elf development by creating an account on GitHub.

github.com

ドラッグアンドドロップすれば変換してくれます。

JDK

GHIDRAの実行にはJDK（JAVA）が必要なので、公式サイトからインストールしましょう。

Java SE Development Kit 11- - Downloads

www.oracle.com

jdk-11.0.2_windows-x64_bin.exeをダウンロードします。

32bit版が提供されていないので、32bitOSではGHIDRAは動作しないかも？

インストールが終わったらJavaのパスを通します。

環境変数に追加するパスはインストールしたJDKのバージョンによって異なります。

わからない場合はドライブC内の “ProgramFiles\Java” から確認してください。

これをしないとGHIDRAが起動しません。

GHIDRAの使い方

いくつかのパートに分けてGHIDRAの使い方を解説していきたいと思います。

Loaderの導入

Adubbz/Ghidra-Switch-Loader

Nintendo Switch loader for Ghidra. Contribute to Adubbz/Ghidra-Switch-Loader development by creating an account on GitHub.

github.com

GHIDRAでのNSOの分析を便利にしてくれるプラグインが公開されていたので紹介します。

• GHIDRAを起動してFile -> Install Extensionを選択
• 右側の＋ボタンを押して、ダウンロードしたzipファイルを直接指定

GHIDRAの再起動が要求されると思うので、再起動しましょう。

ELFの分析

ghidraRun.batを起動します。

まずは実行ファイルであるELFを分析します。

I Agree（同意）をクリックして先に進みます。

起動するとプロジェクトを作成するように指示されます。

プロジェクト名は適当に決めてしまいましょう。

FileからImport Fileを選択して、復号済みのバイナリファイル（.elf）を選択します。

ELFってExecutable and Linking Formatの略だったんですね。

インポート結果が表示されます。

「分析済みではないので分析しますか？」というダイアログが表示されるのでYesを選択します。

とりあえずデフォルトでチェックが入っているものだけにしました。

Analyzeをクリックすると分析が始まります。

右下の表示で分析中なことがわかります。

分析のスピードは使用しているマシンのCPUのスペックに依存します。

i7 6700Kで実行したところ約20分ほどかかりました。

IPSwitchのコードについて

まず、コードの意味について理解しなければいけないので「コードとは何か」というところからかいつまんで解説します。

分かる人はスルーしていただいて結構です。

IPSwitchのコード（というかほとんどすべてのコードは）はアドレス部と命令部に分かれています。

そして、各コードは「指定されたアドレスの本来の命令を、指定された命令に上書きせよ」という意味を持ちます。

アドレスとか命令とかがよくわからない人のためにわかりやすく説明すると、例えば “「お金」と言えば100円引き出せる貯金箱” があったとします。

そして、コードを用いてボタンを押したときの挙動が「100円引き出す」ではなく「10000円引き出す」に変えることを考えます。

それをIPswitch形式でコードを書くと以下のようになります。

擬似コード

// Money
@enabled
Desk 10000yen

つまり、100円というところを10000円に上書きしてしまうわけです。

今（ver4.3.1）ではその貯金箱は机の上にあるので「お金」と話しかけれ（コードを実行すれ）ばちゃんと10000円が引き出せます。

ところが部屋の模様替え（バージョンアップデート）をしたので、貯金箱はタンスの上に移動させられてしまいました。

ここでさっきと同じようにコードを実行しようとすると、机の上に既に貯金箱はないにも関わらず、お金を引き出そうと何度も話しかける事になってしまいます。

これでは思ったとおりの動作（お金の引き出し）ができないのは明らかですよね？

今からやる移植という作業は「マイナーアップデートだから模様替えをしたといってもそんなに位置は変わってないはず（別の部屋に移動させられたわけではない）だから、前回貯金箱があった場所付近を探して新しい貯金箱の位置を見つけよう」ということになります。

書きたいコード

// Money
@enabled
???? 10000yen

コードでいえば上のコードの?に当てはまるアドレスを見つければよいということになります。

ざっくり書いてみたのですが、どうでしょう？

コードの移植

移植に関して言えば基本的に命令部は弄る必要がないので、正しいアドレスの位置さえ指定してあげれば良いことになります。

移植元と移植先の両方のELFを分析している必要があります。

[4.3.1]
// Invisible
@enabled
023E1074 6666F63A

このコードの意味するところはアドレス “023E1074” の値を “6666F63A” に上書きしなさいということになります。

注意点

GHIDRAのアドレスは何故かIPSwitchのものと比べて0x00100000だけズレています。

なので、InvisibleのコードのアドレスはGHIDRAではズレを考慮して “24E1074” を調べなければいけません。

以下、アドレスを表記する際は断りがない限りGHIDRA表記(0x100000)ズレたものを記載します。

移植元のバイナリ参照

移植元のELFの分析が終了したらNavigationからGo Toを選択してアドレスを入力します。

InvisibleのアドレスはGHIDRAでは “24E1074” なのでそれを入力します。

ジャンプできたらBytesから付近のバイナリを調べます。

4.3.1でコードのアドレス付近のHEXを確認すると以下のような情報がわかります。

[4.3.1]
024E1070  6E 12 83 3B 66 66 A6 3F  00 00 00 80 66 A8 3B 3F
024E1080  09 98 C4 3E EC 51 78 3F  00 00 00 3D 48 E1 AA C0

このバイナリはしっかりとメモしておきましょう。

さてここで思い出していただきたいのはInvisibleのコードは、

アドレス “24E1074” の値を “6666F63A” に変更せよ

という命令だったということです。

そして、いまHEXを直接確認することで、

アドレス “23E1074(24E1074)” の “6666A63F” という値を “6666F63A” に変更せよ

というコードだとわかったことになります。

つまり、変更元である “66 66 A6 3F” を移植先のELFで探せば良いわけです。。

移植先のバイナリ検索

4.3.1から4.5.1の移植であればマイナーアップデートなので適当に “24E1074” 付近でバイナリ検索をかければ見つかります。

まずは “24E1074” 付近にジャンプしましょう。

ジャンプすると以下のような画面になるはずです。

ここからバイナリサーチを行います。

SearchからMemoryを選んで以下のウィンドウを開きます。

検索したい命令 “66 66A6 3F” を入力したらNextを押します。

Search Allを押してしまうと、ELFの最初から検索を始めてしまうのでせっかく目的付近のアドレスに移動した意味がなくなってしまいます。

するとアドレス “2547b80” でヒットしました。

ただ、検索したバイナリが “66 66A6 3F” と比較的短いものなので、たまたま別のコードと一致してしまっただけの可能性があります。

本当に本来探しているべきアドレスなのかどうかチェックするには、付近のバイナリと比較するのが良いでしょう。

[4.3.1]
024E1070  6E 12 83 3B 66 66 A6 3F  00 00 00 80 66 A8 3B 3F
024E1080  09 98 C4 3E EC 51 78 3F  00 00 00 3D 48 E1 AA C0

[4.5.1]
02547B80  66 66 A6 3F 00 00 00 80  66 A8 3B 3F 09 98 C4 3E
02547B90  EC 51 78 3F 00 00 00 3D  48 E1 AA C0 1F 85 EB BE

比較すると全く同じバイナリが続いていることがわかります。

おそらくこれが正しいアドレスなので、IPSwitchに実装しましょう。

他のコード

全部自分が移植してしまっても勉強にならないので、残りについては宿題ということで。

[4.3.1]
// Infinity Ink
@disabled
02340ADE 75622C20635370656369616C00537562
02340AE0 496E6B5F53617665202C4D61696E496E
023406F8 6B5F53617665202C496E6B5265636F76

// Weak Gravity
@disabled
023E0DE4 0A2D2D3D

重力変更コードはめっちゃ簡単に移植できます。

IPSwitch

GHIDRAのアドレスは先述したように “0x00100000” だけズレているので、それを加味してコードを書きます。

// Invisible
@disabled
02447B80 6666F63A

あれ、これだけ？

nsobidの検索方法などは以下の記事を参考にしてください。

[IPSwitch] 4.5.1を解析する

ver4.5.1がリリースされた IPSwitchですが、ver4.4.0の段階で更新が止まっています。 他力本願...

2019-03-24 22:34

実行してみた

実行の仕方については割愛します。

どうやら、ここのイカちゃんは消えないようですね。

広場のイカちゃんはみんな消えてしまっています。

無事、4.5.1に移植できました。

おまけ

簡単にみなさんが疑問に思っていそうなことに答えていきます。

プログラミングってどうやって勉強した？

独学です。

書店にいくと山ほどプログラミング関係の本が売っていますが、正直言って買うだけ無駄です。

プログラミングというのはすぐにトレンドが変化するので、一年前の本なんて全く役に立ちません。

特にSwiftはコーディング規則の変化が激しく、本に載っているサンプルプログラムはまず100%最新のSwiftで動作しません。

インターネットのほうがよっぽど便利です。

ただ、C言語の本だけは一冊読みました。どの本だったか忘れちゃったんですけれど…

おすすめの本は？

プログラミングとは全く関係ないけれど、この本はオススメです。

情報理論的な下限とか、符号化や暗号化について学べます。

個人的にはエントロピーのあたりの話が面白かったですね。

英語なので難しいと言えば難しいんですが、この本はめちゃくちゃ役に立ちます。

値段も結構するので、英語に抵抗がなくてアルゴリズムに興味がある人はどうぞ。

と思っていたら、割高ですが日本語版もありました。

コード教えて

教えないゾ☆

ここのDiscordサーバでDeveloperになればいくつかのコードは公開しているので見れます。

ただし、Developerになるには現Developer一名以上の推薦が必要なので誰かと仲良くなって紹介してもらってください。

Join the SLP-JP Discord Server!

Check out the SLP-JP community on Discord - hang out with 74 other members and enjoy free voice and text chat.

discordapp.com