====== Ghidra: Инструкция для начинающих ======

===== Что такое Ghidra =====
**Ghidra** — это мощный фреймворк для анализа бинарных файлов, разработанный Агентством национальной безопасности США (NSA) и опубликованный как open-source. Поддерживает множество процессорных архитектур и платформ, предоставляет встроенный декомпилятор, инструменты для редактирования кода, исследования памяти, поиска уязвимостей и реверс-инжиниринга.

  * ✅ Поддержка ELF, PE, Mach-O, raw binary и др.
  * ✅ Декомпиляция в Си-подобный код
  * ✅ Расширяемость на Java и Python (Jython)
  * ✅ Совместимость с IDA-скриптами через GhidraBridge
  * ✅ Интеграция с GDB, x64dbg, BinNavi, angr и др.

===== Установка =====
  * Скачать: https://ghidra-sre.org/
  * Установите Java JDK (рекомендуется 17+)
  * Распакуйте архив → откройте `ghidraRun`
  * Опционально: подключите GhidraBridge, Sleigh, BinExport

===== Интерфейс Ghidra =====

^ Раздел                ^ Описание ^
| **Project Manager**  | Создание и загрузка проектов |
| **CodeBrowser**      | Основное рабочее окно |
| **Decompiler**       | Окно декомпиляции в C-подобный код |
| **Listing/Bytes**    | Ассемблер, байты, инструкции |
| **Symbol Tree**      | Символы, функции, метки, строки |
| **Function Graph**   | Визуальный граф вызовов |
| **Memory/Registers** | Просмотр памяти, сегментов, регистров |

===== Первичный анализ =====

1. **Создайте новый проект**
   - Project → New Project → Non-Shared
   - Назовите и выберите папку

2. **Импортируйте бинарь**
   - File → Import File
   - Выберите `.exe`, `.elf`, `.bin`, `.so`, `.dll` и т.д.
   - Ghidra определит тип автоматически

3. **Запустите анализ**
   - После импорта появится диалог `Auto Analysis`
   - Выберите нужные опции (по умолчанию включены все)

4. **Откройте CodeBrowser**
   - Дважды кликните на бинаре в дереве проекта
   - Ghidra загрузит все сегменты, метки, функции

5. **Навигация**
   - В CodeBrowser: переходите по функциям, меткам
   - В Decompiler: читайте псевдокод
   - Используйте Search → Functions, Strings, Constants

===== Клавиши и управление =====

^ Горячая клавиша ^ Действие ^
| `Ctrl+Shift+G` | Перейти к адресу |
| `D`            | Установить тип данных |
| `L`            | Переименовать метку |
| `F2`           | Декомпилировать функцию |
| `G`            | Создать функцию |
| `U`            | Удалить элемент |
| `Shift+E`      | Изменить байты вручную |

===== Пример анализа "HelloWorld.exe" =====

1. Импортируйте файл
2. Разрешите Auto Analysis
3. Перейдите к точке входа (`entry`)
4. Используйте декомпилятор (F2)
5. Найдите вызов `printf` или `puts`
6. Переименуйте функцию, пометьте аргументы
7. Экспортируйте декомпилированный код (File → Export Function)

===== Расширение возможностей =====

  * **GhidraBridge** — позволяет подключаться из IDA или Python
  * **Sleigh** — создание кастомных процессоров
  * **BinExport + BinDiff** — сравнение бинарей (как в IDA)
  * **Jython** — написание скриптов (анализ, маркировка, отчёты)
  * **Plugins** — https://github.com/NationalSecurityAgency/ghidra

===== Полезные скрипты =====

  * `FindStrings.py` — поиск строк
  * `RenameFunctionsFromSymbols.py` — автопереименование
  * `FunctionIDAnalyzer` — сигнатуры функций
  * `DecompileFunction.py` — экспорт всех функций в .c

===== Полезные ссылки =====

  * Официальный сайт: https://ghidra-sre.org/
  * Исходники: https://github.com/NationalSecurityAgency/ghidra
  * Скрипты: https://ghidra.re/ghidra_scripts/
  * Туториалы: https://github.com/mandiant/GhidraCookbook

===== Советы новичку =====

  * Активно используйте декомпилятор — он очень точный
  * Переименовывайте функции и переменные
  * Сохраняйтесь часто — Ghidra не сохраняет автоматически!
  * Исследуйте `Symbol Tree` для поиска точек входа, API
  * Используйте `Function Graph` для анализа логики программы