← Ко всем open source проектам

Ghidra

NationalSecurityAgency/ghidra

Ghidra — фреймворк для обратной инженерии: анализ бинарных файлов, дизассемблирование, декомпиляция, скрипты и расширения.

GitHub · 69,918 звёзд Сайт проекта
Форки 7,663
Автор NationalSecurityAgency
Язык Java
Лицензия Apache-2.0
Обновлено 2026-06-20

Что это такое

Ghidra — фреймворк для обратной инженерии программ. Он помогает исследовать скомпилированный код: загружать бинарные файлы, смотреть дизассемблированное представление, пользоваться декомпилятором, писать скрипты и расширять анализ.

Проект был опубликован на GitHub в 2019 году. Он создан и поддерживается исследовательским подразделением National Security Agency, написан на Java и распространяется под Apache-2.0.

Что внутри

Внутри — набор инструментов для анализа ПО: загрузчики форматов, декомпилятор, интерфейс для исследования функций и символов, система скриптов и расширений. Это не маленькая библиотека, а полноценная среда для специалистов по безопасности.

Типичный поток анализа

Схема показывает, как Ghidra превращает бинарный файл в набор представлений, которые можно изучать и расширять скриптами.

Язык: Plain text 
binary file -> loader -> disassembly -> decompiler -> symbols -> scripts and extensions

Как это используют

Ghidra используют при исследовании вредоносного ПО, анализе старых бинарных файлов, проверке уязвимостей и восстановлении логики программ, для которых нет исходников. В легальной работе он требует такого же аккуратного обращения, как любой инструмент безопасности.

Сильная сторона Ghidra — глубина и расширяемость. Пользователь может идти от общего обзора файла к конкретной функции, а затем автоматизировать повторяющиеся действия скриптами.

Детали проекта

Ghidra ценна тем, что объединяет несколько уровней анализа в одной среде. Специалист может начать с общей карты бинарного файла, затем перейти к функциям, строкам, символам, декомпиляции и собственным скриптам для повторяемых задач.

Проект также важен как открытая альтернатива коммерческим инструментам обратной инженерии. Для учебных лабораторий и независимых исследователей это снижает порог входа в область, где раньше качественные инструменты часто были дорогими и закрытыми.

В реальной работе Ghidra редко используется одна. Ее результаты сопоставляют с отладчиками, песочницами, документацией форматов и знаниями о конкретной платформе. Инструмент помогает видеть код, но выводы все равно делает человек.

Сильные стороны и ограничения

Ограничение — высокий порог входа. Чтобы получить пользу, нужно понимать архитектуры процессоров, форматы исполняемых файлов, вызовы функций и юридические границы анализа.

Ghidra важна для каталога как зрелый пример серьезного инструмента безопасности с открытым кодом: проект не просто популярен, он реально используется в профессиональном анализе ПО.

Контекст