[Ghidra & x64dbg] Gx64Sync

Ghidra를 사용하면서, 기존에 사용했던 IDA와 달리 디버깅 기능이 통합되어 있지 않고 별도의 디버거를 따로 실행해야 한다는 점에서 불편함을 많이 느꼈습니다.

여러 가지를 찾아보던 중 우연히 Gx64Sync라는 플러그인을 발견하게 되었고, 사용해보니 정말 만족스러워서 여러분께 꼭 소개해드리고 싶습니다.

 

1. Gx64Sync

Gx64Sync는 간단히 말해 Ghidra와 x64dbg를 실시간으로 동기화해주는 플러그인입니다.
조금 더 자세히 설명하자면, 이 플러그인을 사용하면 디버깅과 리버싱 작업을 동시에 진행할 수 있도록 두 툴을 연동해줍니다. 주요 기능은 다음과 같습니다:

 

주요 기능

1. 주소 동기화 (SyncLocation)
   x64dbg에서 특정 주소로 이동하면, Ghidra에서도 자동으로 해당 주소로 이동합니다.
   즉, 디버깅 중에 현재 실행 중인 코드가 Ghidra에서 실시간으로 표시됩니다.
2. 주석 동기화 (SyncComment)
   x64dbg나 Ghidra에서 작성한 주석이 양방향으로 전송됩니다.
   예를 들어 Ghidra에서 함수 분석 중에 단서를 남기면, x64dbg에서도 그 주석을 그대로 볼 수 있습니다.
3. 하이라이트 및 싱크 트리거 (HyperSync)
   하이라이트된 코드 블록이 실시간으로 동기화되며, 실행 흐름을 Ghidra에서 시각적으로 따라가기 용이합니다.

작동 방식

• Ghidra는 GhidraBridge 플러그인 또는 Ghidra Script Server를 통해 외부와 통신할 수 있고,
• Gx64Sync는 이 통신 채널을 이용해 x64dbg에서 현재 위치나 명령, 주석 등의 정보를 가져와 Ghidra와 연결합니다.

그동안 IDA만 사용해왔던 제게는 정말 혁신적인 플러그인이었습니다.

 

2. 설치 방법

Gx64Sync

GitHub - diommsantos/Gx64Sync: A set of plugins for Ghidra and x64Dbg synchronization. A faster, more flexible ret-sync.

위 GitHub 링크에 들어가시면 자세한 내용을 확인하실 수 있습니다.

 

3. 실행 예시 GIF

 

 

물론 IDA에서도 가능합니다. 아래 플러그인을 사용하면 유사한 기능을 구현할 수 있습니다.

하지만 Ghidra는 아직 10.x 버전대까지만 지원하는 경우가 많아, 저는 Gx64Sync를 선택하게 되었습니다.

ret sync

GitHub - bootleg/ret-sync: ret-sync is a set of plugins that helps to synchronize a debugging session (WinDbg/GDB/LLDB/OllyDbg2/

 

이번 포스팅은 여기서 마치겠습니다.

읽어주셔서 감사합니다!