05ricardo reversing


Reversing

00005Ui9CvwZqbYM.es.srt

Este video es una guía práctica de debugging de Ghidra usando dos métodos: el plugin RedSync conectado a WinDbg, y el debugger local que trae Ghidra 11.4 de forma nativa.

Bug de Ghidra 11.4 — extensiones:

La versión 11.4 tiene un bug que deshabilita el botón para instalar plugins/extensiones. El workaround es manual: copiar el zip de la extensión directamente en la carpeta extensions/Ghidra dentro del directorio de instalación, y después descomprimir el contenido en la carpeta %APPDATA%/ghidra/ghidra_11.4/extensions. La sincronización de la descompresión tiene que ocurrir justo cuando Ghidra se reinicia.

Método 1 — RedSync + WinDbg:

El flujo de conexión fue:

  1. Colocar el archivo de configuración sync en la carpeta del usuario (o dentro de la carpeta del proyecto para configuración individual).
  2. En Ghidra, activar el plugin RedSync para que escuche.
  3. En WinDbg, cargar el plugin .sync (con el punto delante obligatorio).
  4. Ejecutar el programa, parar en el system breakpoint, y hacer .sync para conectar ambos.
  5. Rebasear en Ghidra: ir a Memory Map, poner la base address que muestra LM en WinDbg.

Una vez conectados, el tracing se sincroniza en ambas herramientas simultáneamente. Se verificó el contenido de memoria usando DB en WinDbg mientras se traceaba desde Ghidra, confirmando que los valores escritos (punteros a strings, constantes como 0x6789) aparecían correctamente.

Método 2 — Debugger local de Ghidra:

La configuración requiere especificar la ruta del ejecutable y el directorio de debugging en el launch dialog. El flujo fue:

  1. Lanzar desde Debugger > Configure > Launch.
  2. Rebasear desde Windows > Memory si la base no coincide.
  3. Hacer Map Module para sincronizar el módulo con el análisis estático (sin esto el cursor no avanza en el código analizado).
  4. Configurar el tracking en Program Counter by Register.

Las ventanas disponibles durante el debugging fueron: memoria (con opciones de visualización por byte/word/dword/qword/código), registros, breakpoints, threads, y stack. Todo integrado en una sola interfaz.

Comparación entre ambos métodos:

El debugger local tiene la ventaja de tener todo en un solo programa (memoria, registros, código). Sin embargo, es menos estable: frecuentemente se desincroniza al reiniciar, tira errores extraños en sesiones consecutivas, y los botones de step into/step over no son intuitivos (F8/F10 con significados opuestos a los de WinDbg). RedSync + WinDbg es más robusto y predecible, pero requiere manejar dos programas simultáneamente.