Tutorial Ghidra: guia completa per començar i treure partit

Si t'interessa la enginyeria inversa i l'anàlisi de binaris, és gairebé impossible que no hagis sentit parlar ja de Ghidra. Aquesta eina, alliberada per la NSA després de més d'una dècada d'ús intern, ha esdevingut una alternativa molt seriosa a IDA Pro ia altres desassembladors comercials, sobretot perquè és gratuïta, de codi obert i tremendament potent.

En les següents línies trobaràs una guia molt completa per a començar amb Ghidra des de zero: què és, què necessites per utilitzar-la, com instal·lar-la o compilar-la en diferents sistemes operatius, com crear el teu primer projecte, com ajustar la interfície perquè resulti còmoda si véns d'IDA i com realitzar la teva primera anàlisi bàsica d'un executable. La idea és que acabis l'article amb la sensació que ja pots obrir un binari a Ghidra i moure't amb facilitat pel seu entorn.

Què és Ghidra i per què ha marcat un abans i un després

Ghidra és una suite d'enginyeria inversa desenvolupada a Java per la National Security Agency (NSA). Durant més de deu anys va ser una eina interna utilitzada per analitzar codi maliciós, firmware, executables de diferents plataformes i, en general, qualsevol binari que necessités ser desassemblat o descompilat per entendre el seu comportament.

En fer-se pública el 2019, Ghidra va trencar el paradigma que existia fins aleshores: durant gairebé dues dècades, si volies dedicar-te de debò al reversing professional, lopció dominant era IDA Pro (sovint amb el seu decompilador de pagament), un programari car i amb un ecosistema molt consolidat. Hi havia altres eines, però poques aconseguien fer-li ombra. L'arribada de Ghidra, gratuïta i open source, va canviar completament les expectatives de la comunitat.

Una de les coses que més sorprèn al principi és que Ghidra no s'assembla exactament a les eines clàssiques on molts analistes s'han format. Aquesta interfície basada en Java, amb un enfocament modular i una organització de finestres una mica diferent, va fer que molts la provessin al principi, se sentissin una mica perduts i tornessin corrent al seu workflow tradicional amb IDA o altres programes.

Tot i això, a mesura que ha madurat el projecte, amb noves versions, correccions i millores constants, Ghidra s'ha convertit en una opció totalment vàlida com a eina principal d'enginyeria inversa. Amb una bona configuració inicial de la interfície, dreceres personalitzades i algunes bases de dades de tipus, molts analistes han descobert que poden treballar de forma còmoda i eficient, sense trobar a faltar massa el seu vell entorn.

Requisits i característiques bàsiques de Ghidra

Abans de posar-te a esbudellar binaris com si no hi hagués un demà, convé tenir clar què demana Ghidra per funcionar bé i què ofereix de sèrie. A nivell tècnic, es tracta d'una aplicació escrita en Java, el que li dóna lavantatge de ser multiplataforma (Linux, macOS i Windows) i el desavantatge de dependre duna màquina virtual Java relativament moderna.

Els requisits mínims recomanats per la pròpia eina són força assumibles: sistema operatiu de 64 bits (qualsevol versió actual de Linux, macOS o Windows), almenys 4 GB de memòria RAM i al voltant d'1 GB d'espai al disc per a la instal·lació bàsica i els projectes inicials. Òbviament, com més grans i complexos siguin els binaris, més agrairàs disposar de més memòria RAM i CPU.

És imprescindible disposar d'un Java Development Kit (JDK) 11 o superior. Ghidra no es conforma només amb la màquina virtual per executar, ja que molts components i scripts es recolzen en aquest entorn de desenvolupament. Si utilitzes paquets precompilats descarregats de GitHub, el mateix paquet sol venir preparat per treballar amb un JDK adequat, però si compiles des de codi font hauràs de tenir-lo correctament instal·lat.

Un dels punts forts de Ghidra és el seu gran capacitat d'extensibilitat. Pots desenvolupar els teus propis mòduls, scripts i extensions a Java o Python (a través de Jython) per automatitzar anàlisis, generar informes, crear detectors de patrons o integrar altres fluxos de treball. A més, Ghidra facilita la integració amb entorns com Eclipse i ofereix mecanismes per interoperar amb eines de referència com a IDA Pro.

Convé aclarir que, encara que avui dia el projecte és open source i el codi està disponible a GitHub, els primers mesos després del seu anunci es va produir una petita transició: al principi l'alliberament va ser una mica més gradual i no tot l'arbre de codi estava obert. A dia d'avui, el repositori oficial de Ghidra recull el desenvolupament actiu, les incidències i les contribucions de la comunitat.

Advertiments de seguretat i confiança en l'eina

Encara que Ghidra sigui d'ús massiu i estigui alliberada per una agència governamental coneguda, cal no oblidar que és una base de codi gran i complexa, amb multitud de dependències de tercers. Algunes d'aquestes biblioteques han tingut vulnerabilitats en el passat i és raonable suposar que puguin aparèixer errors de seguretat nous en el futur.

No hi ha cap garantia absoluta que el codi actual de Ghidra estigui totalment lliure de vulnerabilitats o que algú no pugui aprofitar un bug en una dependència per executar codi maliciós. El que és sensat és tractar Ghidra com qualsevol altra eina complexa: mantingueu-la actualitzada, descarrega les versions des de fonts oficials, executa l'aplicació en entorns controlats i no la barregis amb sistemes crítics si no és estrictament necessari.

En entorns professionals sol ser bona idea executar-la en una màquina virtual dedicada o en un entorn aïllat, sobretot si analitzaràs malware o binaris d'origen dubtós. Tingues en compte que, en carregar mostres malicioses, qualsevol fallada al motor d'anàlisi o en algun plugin podria teoritzar-se com a vector d'atac, encara que siguin escenaris relativament poc freqüents.

Com aconseguir Ghidra: binaris precompilats vs compilació des de codi

La forma més ràpida de començar amb Ghidra és descarregar la versió estable publicada a GitHub en forma de paquet ZIP. Aquests binaris precompilats solen anar amb alguns mesos de retard respecte a la branca principal de desenvolupament, però a canvi ofereixen més estabilitat i una experiència més controlada per a la majoria d'usuaris.

Si busques tenir sempre les funcions més recents i correccions d'última hora, una alternativa és clonar directament el repositori oficial i compilar Ghidra pel teu compte. Aquest enfocament no és el recomanat per a tothom, però dóna força joc als que volen trastejar amb el codi, enviar pegats o simplement provar features que encara no han arribat a la versió estable.

En molts casos es recomana precisament això: descarregar el codi font en un fitxer ZIP o clonar el repositori Git i generar els binaris localment, aprofitant que el procés de build està força automatitzat amb Gradle. Un cop superada la primera compilació (que sol ser la més feixuga, per la descàrrega de dependències), és relativament senzill mantenir l'eina al dia.

Al marge del mètode triat, és important que verifiquis les firmes i hashes dels paquets descarregats des de GitHub o altres fonts oficials. Això redueix el risc que un fitxer manipulador es faci passar per una versió legítima de Ghidra.

Compilar Ghidra a Windows pas a pas

A Windows, a més de Java i Gradle, necessitaràs un compilador nadiu proporcionat per Visual Studio. Les versions modernes, com ara Visual Studio 2017 o posteriors, funcionen correctament, i l'edició Community 2022 sol ser més que suficient per a aquest propòsit.

El flux típic de compilació comença obrint una finestra de CMD (símbol del sistema) i situant-te al directori on tinguis el codi font de Ghidra mitjançant l'ordre:
cd %directory_of_ghidra_source_code%

Un cop s'utilitza l'script de Gradle proporcionat al propi arbre del projecte per inicialitzar l'estructura, descarregar totes les dependències i deixar preparat l'entorn. La comanda usual és una cosa com:
gradle.bat -I .\gradle\support\fetchDependencies.gradle init
Aquest procés pot trigar entre 5 i 10 minuts, depenent de la vostra connexió i de l'estat de memòria cau de Gradle, ja que ha de descarregar totes les biblioteques necessàries.

Si tot va bé, al final del procés veuràs a la consola un missatge de CONSTRUCCIÓ EXITOSA, juntament amb la confirmació que s'ha detectat correctament la instal·lació de Visual Studio, requisit imprescindible per continuar amb la compilació dels mòduls nadius.

Després de la fase d'inicialització, només cal llançar la construcció principal de l'eina amb:
gradle.bat buildGhidra
Aquest pas també pot portar una estona i és normal que apareguin avisos o warnings, però mentre el resultat final sigui “BUILD SUCCESSFUL”, podeu donar la compilació per bona.

Quan el procés acaba, el paquet complet de Ghidra queda empaquetat en un fitxer ZIP dins del directori build/dist. Per utilitzar-lo, només haureu d'extreure aquest ZIP a la carpeta que preferiu i executar l'script ghidraRun.bat, que sencarrega de llançar laplicació amb la configuració adequada.

Compilar Ghidra a Linux

En sistemes GNU/Linux, la idea general és la mateixa, però en lloc de Visual Studio en necessitaràs una versió moderna de GCC, per exemple les sèries 9 o 12, que solen donar bons resultats. A més, per descomptat, Java i Gradle han d'estar correctament instal·lats al sistema i, si necessites executar programari de Windows des de Linux, hi ha solucions com Bottles.

El primer pas consisteix a obrir una terminal i canviar al directori on tinguis el codi de Ghidra amb:
cd <directorio_del_codigo_de_ghidra>
Des d'aquí, es llança el procés inicial de Gradle per descarregar dependències i configurar el projecte, usant una ordre del tipus:
gradle -I ./gradle/support/fetchDependencies.gradle init

Igual que a Windows, aquesta fase d'inicialització requereix connexió a Internet activa i sol trigar uns quants minuts. Un detall particular a Linux és que, si la teva configuració regional no està en anglès (per exemple, si uses un locale rus o espanyol), els missatges localitzats de GCC podrien trencar alguns scripts que parsegen la sortida.

Per evitar problemes amb la localització, és recomanable forçar l'entorn d'anglès en executar Gradle, per exemple amb:
LANG=C gradle -I ./gradle/support/fetchDependencies.gradle init
D'aquesta manera, la sortida de GCC es genera en anglès i els scripts que s'hi recolzen poden treballar sense sorpreses.

Quan el procés d'init acaba amb èxit (veureu el missatge CONSTRUCCIÓ EXITOSA), toca construir Ghidra i les altres peces associades amb:
gradle buildGhidra
Al final de la compilació, trobaràs de nou un ZIP preparat al directori build/dist. Només cal extreure'l i llançar l'script de shell ghidraRun situat a l'arrel de l'arbre extret per iniciar l'aplicació.

En moltes distribucions, la versió de desenvolupament (per exemple, 10.3-DEV en el moment descrit) utilitza per defecte el tema d'interfície “Nimbus”. Si no us convenç, podeu canviar-lo fàcilment des de les opcions de l'eina, cosa que veurem una mica més endavant.

Compilar Ghidra a macOS

A macOS, el procés s'assembla molt al de Linux, amb la particularitat que necessites instal·lar les eines de línia d'ordres de Xcode. Aquestes proporcionen un substitut de GCC i Make, entre altres utilitats que Gradle empra en el procés de construcció.

Per comprovar si les tens instal·lades, pots obrir una terminal i executar simplement gcc. Si el sistema detecta que falten les eines, macOS mostrarà un quadre de diàleg per descarregar i instal·lar les Command Line Tools. Acceptes, esperes que es completi la descàrrega i llest.

Amb les eines ja disponibles, la compilació de Ghidra a macOS es fa igual que a Linux: et situes al directori del codi font amb:
cd <directorio_del_codigo_de_ghidra>
I executes l'ordre d'inicialització de Gradle per obtenir dependències i configurar el projecte:
gradle -I ./gradle/support/fetchDependencies.gradle init

Després de la inicialització, s'arrenca el procés principal de build amb:
gradle buildGhidra
Quan acabi i vegis el missatge de CONSTRUCCIÓ EXITOSA, tindràs el teu ZIP llest a build/dist. Només queda descomprimir el paquet en una carpeta de la teva elecció i arrencar Ghidra amb l'script ghidraRun des de la terminal o fent doble clic, segons la teva configuració.

A macOS, la interfície gràfica de Ghidra sol adoptar per defecte un aspecte nadiu força alineat amb el sistema, cosa que ajuda a integrar-la visualment ja que no desentoni amb la resta d'aplicacions de l'escriptori.

Primers passos: crear un projecte i obrir CodeBrowser

Un cop tens Ghidra en marxa, el primer concepte que has d'interioritzar és el de projecte. Ghidra no treballa directament sobre els fitxers del sistema, sinó que importa els binaris a una base de dades pròpia, on emmagatzema tota l'anàlisi, les anotacions, els tipus de dades, les estructures, les etiquetes i la resta d'informació que vagis generant.

Per començar, obre el menú File -> New Project… a la finestra principal de Ghidra. Aquí podràs triar si vols un projecte “shared” (compartit en un servidor per a treball col·laboratiu) o un projecte local. Si només trastejaràs tu, amb un projecte no compartit tens de sobres.

A l'assistent, indica la ruta del sistema de fitxers on es guardarà el projecte i el nom que vulguis donar-li. Un cop confirmat, veuràs la finestra de projectes amb un repositori buit llest per allotjar els teus binaris. Aquesta estructura s'assembla, fins a cert punt, a una col·lecció de bases de dades, on cada fitxer importat genera el seu propi conjunt d'informació.

El pas següent és llançar l'eina principal d'anàlisi, anomenada CodeBrowser. Pots fer-ho des del menú Tools de la finestra de projectes (per exemple, Tools -> Run Tool -> CodeBrowser) o arrossegant un binari sobre la icona del “cap de drac verd” un cop ho hagis importat.

CodeBrowser obrirà una interfície composta per diverses vistes: una llista principal on es mostren les instruccions acoblades, seccions amb els arbres de símbols i tipus de dades, una finestra de descompilació a alt nivell i una consola per a logs i missatges. És, bàsicament, el centre neuràlgic de la teva feina diària amb Ghidra.

Configurar la interfície de Ghidra per treballar còmode

La primera impressió que dóna Ghidra a molts usuaris que vénen d'IDA o altres eines és que la interfície és diferent i, de vegades, una mica caòtica. El millor és que gairebé tots els elements es poden ajustar, recol·locar i personalitzar des de les opcions de l'eina.

Per accedir a la configuració global de CodeBrowser, utilitza el menú Edit -> Tool Options…. Des d'aquí podreu modificar tant la distribució visual (colors, fonts, camps que es mostren, comportament del ratolí) com les dreceres de teclat i altres aspectes interns que influeixen en el vostre flux de treball diari.

Una de les primeres coses que molta gent troba a faltar és una barra de navegació compacta, similar a la que ofereixen altres desassembladors. A CodeBrowser existeix, però sol estar desactivada per defecte. Pots activar-la tocant el botó “overview” que apareix al costat de la barra de desplaçament, cosa que et mostrarà una vista general vertical del binari.

Les dreceres de teclat són un altre punt clau. Els valors per defecte poden resultar confusos i recorden força els d'entorns com Eclipse, cosa que no sempre quadra amb la memòria muscular d'algú que fa anys que fa servir IDA. Des de l'apartat de “Key Bindings” a les opcions de l'eina pots cercar accions concretes i reassignar tecles al teu gust (per exemple, C per marcar codi, D per marcar dades, X per referències externes, Esc per retrocedir, etc.).

També és recomanable ajustar l'aspecte de la llista de desassemblat des de “Listing Display” per escollir fonts i colors còmodes, i configurar detalls com el nombre màxim de línies mostrades per a arrays o cadenes a “Listing Fields -> Array Options”. Fins i tot li pots demanar que els índexs dels arrays es mostrin en hexadecimal per evitar confusions.

Ajustaments visuals útils: bytes, ressaltats i camps

A l'apartat de “Listing Fields”, Ghidra permet modificar pràcticament tots els elements que es mostren al voltant del codi assemblador: adreça, bytes, operació, operands, comentaris, etiquetes, etc. Això et permet construir-ne una vista molt més compacta o més detallada, segons el que et resulti més còmode.

Per exemple, si vols que cada instrucció ocupi una sola línia, pots anar a “Bytes Field” i posar el valor de “maximum lines to display” a 1, cosa que elimina salts de línia innecessaris. De passada, podeu marcar l'opció de mostrar els bytes en majúscules si us resulta més llegible treballar amb HEX en lletres capitals.

El ressaltat de text és un altre punt que sol desesperar qui arriba nou. De fàbrica, Ghidra utilitza el botó central del ratolí per ressaltar registres, valors o etiquetes, una mica poc intuïtiu en molts ratolins moderns. Dins de “Cursor Text Highlight”, pots canviar l'opció “Mouse Button To Activate” a LEFT, perquè el clic esquerre activeu el ressaltat i resulti més natural.

A l'àrea de funcions, és força útil marcar “Flag Function Entry” i “Flag Function Exits” perquè l'inici i el final de cada funció s'assenyalin visualment a la llista de codi. Alhora, molts usuaris prefereixen desactivar “Display Function Label” a “Labels Field” per treure una línia redundant a la capçalera de cada funció i netejar la vista.

Finalment, si et molesta haver-te de desplaçar horitzontalment, pots desmarcar l'opció corresponent a “Mouse” dins de “Listing Fields”. D'aquesta manera forces una distribució que encaixi millor a l'amplada de la finestra, prioritzant un scroll vertical més natural.

Configura símbols, tipus de dades i referències creuades

La potència real de Ghidra s'aprecia quan comences a jugar amb les vistes de símbols i de tipus de dades. A l'esquerra de CodeBrowser trobaràs el “Symbol Tree”, que us permet localitzar fàcilment funcions, importacions, exportacions i altres símbols clau per entendre l'estructura d'un binari.

Just a sota, el “Data Type Manager” actua com a repositori centralitzat de tots els tipus coneguts: estructures, typedefs, enumeracions, cursors, etc. Des d'aquí pots carregar biblioteques de tipus externes (per exemple, definicions de Windows) usant el menú desplegable, o crear els teus propis tipus perquè el codi descompilat tingui molt més sentit.

Les referències creuades o XREFs també es poden ajustar detalladament. Dins de “Listing Fields -> XREFs Field” pots pujar el nombre màxim de referències mostrades perquè, en situar-te sobre una adreça, vegis més trucades o accessos relacionats. Això és especialment útil en anàlisi de codi maliciós (malware), on resulta vital rastrejar on es fa servir una API o una funció concreta.

A més, Ghidra permet canviar sobre la marxa l'amplada de les columnes de direcció, bytes i opcodes usant el botó “Edit the Listing fields” a la pròpia interfície. Un cop activat, pots arrossegar i redimensionar cada camp al teu gust. La configuració es desa quan tries “save the tool” en sortir de CodeBrowser, de manera que el teu disseny preferit quedi persistent.

Importar un binari i llençar l'anàlisi automàtica

Amb la interfície ja més o menys al vostre gust, toca importar el vostre primer fitxer. Des de la finestra del projecte, utilitza el menú File -> Import File… i selecciona l'executable, la llibreria o el binari que vulguis analitzar. Ghidra copiarà el contingut a la base de dades interna, de manera que en teoria podries esborrar el fitxer original del sistema de fitxers sense perdre la mostra importada.

Durant el procés d'importació, l'eina intentarà reconèixer automàticament el format i el llenguatge del fitxer. El terme “llenguatge” a Ghidra no fa referència a l'idioma humà, sinó a la combinació d'arquitectura de processador, endianess i variant de compilador utilitzada. Si el format no es detecta o és cru (raw), pots seleccionar manualment el llenguatge i algunes opcions addicionals.

Entre les opcions d'importació tens coses com decidir si es carreguen o no llibreries externes. En un executable de Windows, per exemple, això significa que Ghidra pot intentar resoldre i carregar les DLL dependents per enriquir lanàlisi. En altres casos preferiràs desactivar aquesta opció per centrar-te només en el binari principal.

En acabar la importació, Ghidra mostra un resum on s'indica el tipus de fitxer, la plataforma, el format (per exemple PE a Windows) i un apartat de “Additional Information” on pots veure si totes les llibreries esperades s'han localitzat correctament o si en falta alguna. Aquesta informació és crucial per entendre quines parts de l'ecosistema de l'executable tens carregades i quins no.

Un cop tinguis el binari importat i visible a la finestra del projecte, pots obrir-lo a CodeBrowser fent-hi doble clic o seleccionant l'opció corresponent des del menú. En aquest moment, Ghidra et preguntarà si vols executar l'anàlisi automàtica (auto-analyze) o si prefereixes posposar-ho.

Explorant CodeBrowser: vistes, arbres i descompilació

En iniciar l'anàlisi, Ghidra aplica una sèrie d'“analitzadors” o tasques especialitzades que identifiquen codi, dades, funcions i referències. La configuració per defecte d'aquests analitzadors sol ser més que suficient en la majoria de casos, encara que sempre podeu entrar al panell d'opcions per activar o desactivar mòduls concrets segons les vostres necessitats.

A mesura que l'anàlisi avança, veureu com la llista d'instruccions es va enriquint amb noves funcions, etiquetes i comentaris automàtics. Al panell esquerre, el “Program Trees” et mostra la estructura lògica de l'arxiu (segments, seccions, blocs), mentre que el “Symbol Tree” agrupa símbols per categories (funcions, labels, namespaces, etc.).

A la part central teniu la vista clàssica d'assemblador, on podeu navegar direcció a direcció, saltar a funcions, seguir trucades i revisar la seqüència d'instruccions. A la dreta, la vista de codi descompilat intenta reconstruir una representació en C (o un altre llenguatge d'alt nivell) a partir de l'assemblador, cosa que en molts casos accelera enormement la comprensió del codi.

A la part inferior, la consola mostra logs de l'anàlisi, els avisos i els missatges d'error. Aquí solen aparèixer detalls sobre funcions no analitzades, problemes amb algun analitzador concret o advertiments d'estructures de dades sospitoses. És un bon lloc per revisar si tot ha funcionat segons allò esperat o si convé tornar a llançar alguna anàlisi parcial.

La navegació bàsica es fa amb el ratolí i el teclat: pots seguir trucades, tornar enrere, saltar a referències, reanomenar símbols o definir noves funcions sobre la marxa. Amb una mica de pràctica, el teu flux amb CodeBrowser es torna força fluid i flexible, sobretot quan has adaptat les dreceres a la teva manera de treballar habitual.

Scripts, consola Python i ampliació de capacitats

Ghidra no es queda només en allò visual; porta amb si una col·lecció de scripts en Java i Python que permeten automatitzar moltes tasques rutinàries de lanàlisi. Aquests scripts es gestionen des del “Script Manager”, accessible mitjançant el botó corresponent o des del menú Window.

Dins del Script Manager trobaràs scripts per a tasques de tota mena: des de localitzar patrons específics de funcions fins a extreure cadenes, generar informes, aplicar signatures, ajustar tipus de dades o cercar constructes típics de compiladors concrets. Pots executar els scripts tal com modificar-los per adaptar-los a les teves necessitats o crear els teus propis seguint l'API de Ghidra.

A més, l'eina inclou una consola interactiva de Python basada en Jython, accessible des de “Window -> Python”. En aquesta consola podeu explorar l'API de Ghidra amb trucades senzilles com dir(), manipular el programa carregat, crear automatitzacions ad hoc o provar trossos de codi abans d'integrar-los a un script permanent.

Aquesta capacitat de scripting és un dels grans motius pels quals molts analistes acaben quedant-se amb Ghidra: permet construir pipelines d'anàlisi molt personalitzades, integrar-la amb altres eines i reduir dràsticament el treball manual repetitiu.

Firmes, tipus de dades addicionals i anàlisi de codi maliciós (malware)

De sèrie, Ghidra ve amb un bon assortiment de tipus de dades i firmes de funcions, però si et dediques a l'anàlisi de codi maliciós en entorns Windows probablement notaràs que falten molts tipus específics del sistema que són clau per entendre correctament trucades a APIs i estructures internes.

Per suplir aquesta mancança, la comunitat ha generat bases de dades de tipus ampliades per a Windows, així com fitxers de signatures FIDB per a diferents versions de Visual Studio (per exemple VS2013) i per a altres compiladors com Delphi. Aquestes bases de dades es poden carregar al Data Type Manager i fer servir com a referència per enriquir l'anàlisi de les vostres mostres.

Un cop integrades, veuràs com el codi descompilat guanya claredat, les estructures es mostren amb noms significatius i resulta molt més senzill seguir el flux duna funció que utilitza APIs complexes. Tot això contribueix que Ghidra es converteixi en una plataforma cada vegada més completa per a anàlisis serioses.

Evidentment, hi ha marge de millora i encara hi ha buits en algunes plataformes, però el fet que sigui un projecte obert facilita que la comunitat vagi aportant més definicions, scripts i plantilles amb el pas del temps, cosa que reforça el seu paper com a eina central a molts laboratoris de reversing.

Amb tot això sobre la taula, Ghidra es consolida com una alternativa robusta, flexible i gratuïta per a qualsevol que vulgui ficar mà a binaris, ja sigui per aprendre tècniques d'explotació, practicar en CTF, investigar codi maliciós o auditar programari propietari, sempre que es mantingui actualitzada, es configuri amb cap i s'acompanyi de bones bases de dades de tipus i firmes per a les plataformes objectiu.