Ghidramcp

🚀 GhidraMCP

GhidraMCPは、AIによるバイナリ解析を実現するためのGhidraプラグインです。このプラグインは、モデルコンテキストプロトコル（MCP）を通じて、Ghidraの強力な逆エンジニアリング機能とAIアシスタントを結びつけ、バイナリ解析をより効率的かつアクセスしやすくします。

🚀 クイックスタート

GhidraMCPは、モデルコンテキストプロトコル（MCP）を介して、Ghidraの逆エンジニアリング機能とAIアシスタントを連携させます。これにより、AIモデルがGhidraに接続し、バイナリ解析タスクを支援することができ、逆エンジニアリング作業がより効率的かつ容易になります。

✨ 主な機能

• AI駆動のバイナリ解析：モデルコンテキストプロトコルを通じてAIアシスタントをGhidraに接続します。
• 自然言語インターフェース：バイナリファイルに関する質問を簡単な英語で行えます。
• 詳細なコード洞察：関数の詳細情報や逆コンパイルコードを取得できます。
• バイナリ構造解析：インポート、エクスポート、メモリレイアウトを探索できます。
• 自動化されたセキュリティ解析：潜在的なセキュリティホールに関するAI支援による洞察を得られます。
• ソケットベースのアーキテクチャ：GhidraとAIアシスタント間の高性能通信を実現します。
• クロスプラットフォーム互換性：Ghidraがサポートするすべてのプラットフォームで動作します。

📦 インストール

前提条件

• Ghidra 11.2.1以上
• Java 17またはそれ以降のバージョン
• Python 3.8以上（ブリッジスクリプト用）

手順

1. リリースページから最新のリリースZIPファイルをダウンロードします。
2. Ghidraを開きます。
3. ファイル > 拡張機能のインストールに移動します。
4. “+”ボタンをクリックし、ダウンロードしたZIPファイルを選択します。
5. Ghidraを再起動してインストールを完了します。
6. ファイル > 設定 > その他に移動し、“MCPServerPlugin”の横のチェックボックスをオンにして拡張機能を有効にします。

💻 使用例

MCPサーバーの起動

プラグインを有効にしてGhidraプロジェクトを開くと、サーバーが自動的に起動します。デフォルトでは、以下の場所で動作します。

• ホスト：localhost
• ポート：8765

サーバーが動作していることを確認するには、Ghidraコンソールの以下のメッセージを確認します。

MCPサーバーがポート8765で起動しました

AIアシスタントとの接続

Claudeとの接続

ClaudeをGhidraMCPプラグインに接続するには：

1. MCPブリッジスクリプトをインストールします。

   pip install FastMCP
   

2. 以下の設定をClaude MCP設定に追加します。

   {
     "mcpServers": {
       "ghidra": {
         "command": "python",
         "args": ["PATH-TO-REPO/GhidraMCP/ghidra_server.py"]
       }
     }
   }
   

ブリッジスクリプトは、GhidraとClaudeの間に接続を作成し、自然言語によるリアルタイムのバイナリ解析を可能にします。

利用可能なツール

このプラグインは、MCPインターフェースを通じていくつかの強力な機能を公開しています。

クエリ例

以下は、MCP互換のAIクライアントを通じて投げられる質問の例です。

• “このバイナリファイルではどの暗号化アルゴリズムが使用されていますか？”
• “アドレス0x401000の関数の逆コンパイルコードを見せてください。”
• “このマルウェアはどのような疑わしいAPI呼び出しを行っていますか？”
• “このバイナリファイルの用途をインポートとエクスポートから説明してください。”
• “このプログラムの認証メカニズムはどのように機能しますか？”
• “このコードに潜在的なバッファオーバーフローの脆弱性はありますか？”
• “このバイナリファイルはどのようなネットワーク接続を確立していますか？”
• “この関数をより説明的な名前にリネームしてください。”
• “すべての潜在的な悪用可能なユーザー入力ソースを表示してください。”
• “メイン関数の呼び出しグラフを生成してください。”

🔧 技術詳細

高度な使用法

セキュリティ解析機能

GhidraMCPは、セキュリティに重点を置いた解析のための専用ツールを提供します。

• API呼び出しシーケンス解析：セキュリティ解析のために、関数から外部API呼び出しを抽出して分類します。これにより、潜在的な危険な関数を特定し、それらの相互作用を理解することができます。
• ユーザー入力ソース：外部データがプログラムに入るエントリポイントを特定します。これは、脆弱性評価や攻撃面の理解に重要です。
• 呼び出しグラフ生成：実行フローを理解し、データの伝播を追跡し、潜在的な攻撃パスを特定するために、構造化された呼び出しグラフを作成します。
• 暗号化パターン検出：標準アルゴリズム（AES、RSAなど）やコードパターンに基づくカスタム実装を含む、暗号化実装を識別します。
• 難読化文字列検出：XORエンコーディングや文字単位の構築などの技術によって潜在的に難読化された文字列を見つけます。

カスタム設定

MCPServerPlugin.javaファイルを編集することで、サーバーポートを変更できます。

server.setPort(YOUR_CUSTOM_PORT);

解析ワークフローへの統合

GhidraMCPは、既存の解析ワークフローに統合できます。

1. Ghidraの標準解析機能を使用して、関心のある領域を特定します。
2. GhidraMCPを通じてAI支援を利用し、より深い理解を得ます。
3. AIの洞察を手動解析と組み合わせます。
4. AIの洞察に基づいて関数やデータをリネームし、可読性を向上させます。

ソースコードからのビルド

ソースコードからプラグインをビルドするには：

1. このリポジトリをクローンします。

   git clone https://github.com/yourusername/GhidraMCP.git
   

2. Ghidra開発者ガイドの説明に従って、Ghidra開発環境を設定します。
3. GHIDRA_INSTALL_DIR環境変数を設定します。

   export GHIDRA_INSTALL_DIR=/path/to/ghidra
   

4. Gradleを使用してビルドします。

   ./gradlew buildExtension
   

5. 拡張機能のZIPファイルがdistディレクトリに作成されます。

トラブルシューティング

一般的な問題

• 接続問題：Ghidraインスタンスが実行されていることと、プラグインが有効になっていることを確認してください。
• ポート競合：ポート8765が使用中の場合は、プラグイン設定でポートを変更してください。
• ブリッジスクリプトエラー：pip install FastMCPを使用してすべての必要なPythonパッケージがインストールされていることを確認してください。
• 解析関数が空の結果を返す：バイナリファイルに関連するパターンが含まれていない場合、一部のセキュリティ解析関数は空の結果を返すことがあります。

ログ

トラブルシューティングのために、以下のログを確認してください。

• Ghidraコンソールのサーバー側のメッセージ
• ghidra_mcp_bridge.logのブリッジスクリプトの問題

🤝 貢献

貢献を歓迎します！問題やプルリクエストを自由に提出してください。

1. リポジトリをフォークします。
2. あなたの機能ブランチを作成します：git checkout -b feature/amazing-feature
3. 変更をコミットします：git commit -m 'Add some amazing feature'
4. ブランチにプッシュします：git push origin feature/amazing-feature
5. プルリクエストを開きます。

🙏 謝辞

• 米国家安全保障局（NSA）がGhidraを開発しました。
• モデルコンテキストプロトコルコミュニティ
• このプロジェクトのすべての貢献者

GhidraMCPは、NSAやGhidraプロジェクトとは関係がなく、承認もされていません。