QtREAnalyzer

QTreanalyzer هو محلل Ghidra مصمم لثنائيات هندسة عكسي التي تستخدم إطار QT. تتمثل وظيفتها الأساسية في استرداد معلومات الكائن والطريقة الخاصة بـ QT ، مما يوفر رؤى قيمة في الهياكل الثنائية.

• يعمل على الثنائيات دون رموز تصحيح.
• يحدد وتسميات الكائنات StaticMetaObject التي أنشأتها QT MOC.
• يحدد وتسميات كائنات qt_meta_stringdata التي تم إنشاؤها بواسطة QT MOC.
• يحدد وتسميات كائنات qt_meta_data التي تم إنشاؤها بواسطة QT MOC.
• يحدد وتسميات وظائف qt_static_metacall التي تم إنشاؤها بواسطة QT MOC.
• يربط مع التعليقات وظائف qt_static_metacall التي تم تحديدها مسبقًا مع الأساليب والتوقيعات التي تم استردادها من بيانات meta QT.
• يحدد وتطبيق توقيعات الطريقة ، أي أساليب QT (الإشارات والفتحات) الحصول على اسمها الأصلي وأنواع المعلمات وأحيانًا أسماء المعلمات حسب البيانات الأولية المتاحة.
• يحدد ويطبق أسماء وأنواع الخصائص على فئة QT الأساسية ، أي خصائص QT تحصل على اسمها الأصلي وأحيانًا الأنواع الكاملة اعتمادًا على البيانات الوصفية المتاحة ، ويتم إنشاؤها في نوع بيانات الفصل الذي ينتميون إليه.

يرتبط هذا المحلل بإصدار Ghidra الذي يتم تثبيته عليه. حاليا ضروري لبناءها ؛ سيتم توفير امتدادات مصممة في المستقبل للحصول على أحدث إصدارات Ghidra.

1. تثبيت Gradle
2. انتقل إلى مجلد QtREAnalyzerQtREAnalyzer

 cd QtREAnalyzer Q tREAnalyzer

3. قم بإنشاء البرنامج المساعد لتثبيت Ghidra الخاص بك (استبدل $GHIDRA_DIR باستخدام دليل التثبيت الخاص بك). على سبيل المثال ، إذا كان لديك مسار تثبيت Ghidra التالي C:ghidra_11.0.3_PUBLIC فستقوم بتشغيل gradle -PGHIDRA_INSTALL_DIR=C:ghidra_11.0.3_PUBLIC .

gradle -PGHIDRA_INSTALL_DIR= $GHIDRA_DIR 

1. من Ghidra Projects Manager: File -> Install Extensions... ، انقر على علامة + وحدد QtREAnalyzerQtREAnalyzerdistghidra_*_QtREAnalyzer.zip وانقر فوق "موافق".
2. أعد تشغيل Ghidra حسب الطلب

للتحقق من تثبيت qtreanalyzer بشكل صحيح ، يمكنك فتح CodeBrowser وتحديد Analysis -> Auto Analyze ... A وتحقق من وجود خيار QtReAnalyzer .

• قم بتطبيق توقيعات الوظائف تلقائيًا التي تم استردادها من بيانات تعريف QT ، انظر 1.
• قم بتطبيق أسماء وأنواع الخصائص تلقائيًا من بيانات تعريف QT ، انظر 1.
• استرداد الاتصالات بين الإشارات والفتحات.
• تحديد واستعادة المزيد من فئات وطرق QT.

يعمل QTreanalyzer حاليًا فقط مع ثنائيات X32 أو X64 التي تحتوي على RTTI (IE تم تجميعها باستخدام برنامج التحويل البرمجي MSVC). هذا هو الحال لأن QTreanalyzer يستخدم RTTI للعثور على ما إذا كانت الفصول الدراسية ترث من QOBject. هذا ما قاله إذا أراد المرء تمديد هذا المحلل للعمل مع الثنائيات دون RTTI ، كل ما هو ضروري هو تعديل ملف RttiClass.java بشكل مناسب.

في حالات نادرة جدًا ، سيتم تطبيق توقيع غير صحيح على وظيفة أو ستتم إضافة خاصية إلى نوع البيانات في العنوان غير الصحيح. يكاد يكون من المستحيل إصلاحه لأن الطريقة التي يقوم بها QTreanalyzer بتعيين إشارات QT ، وفتحات وتوقيعات الخصائص إلى عنوان الوظيفة المقابلة/إزاحة الخصائص هي القائمة على أساس الاستدلال. لا ينبغي أن يكون هذا قيدًا كبيرًا ، في ملف يحتوي على أكثر من 10 000 إشارات QT والفتحات التي تتحقق يدويًا عينة كبيرة لم أجد سوى حفنة من الرموز المسمى بشكل خاطئ.

لم يكن qtreanalyzer ممكنًا بدون الموارد المذهلة التالية:

• مقالة "Egg Hunt in Tesla Infotainment: نظرة أولى على الهندسة العكسية لثنائيات QT" من تأليف Wen و Haohuang و Lin و Zhiqiang ومستودع Github الخاص بها
• https://ktln2
• https://woboq.com/blog/how-qt-signals-slots-work.html
• https://www.codeproject.com/articles/31330/qt-internals-reversing