QtREAnalyzer

Qreanalyzer ist ein Ghidra-Analysator, mit dem Binärdateien umgekehrt sind, die das QT-Framework verwenden. Seine Hauptfunktion ist es, QT-spezifische Objekt- und Methodeninformationen wiederherzustellen und wertvolle Einblicke in binäre Strukturen zu liefern.

• Arbeitet an Binärdateien ohne Debug -Symbole.
• Identifiziert und kennzeichnet staticMetaObject -Objekte, die vom Qt Moc erstellt wurden.
• Identifiziert und beschriftet qt_meta_stringdata -Objekte, die vom Qt Moc erstellt wurden.
• Identifiziert und beschriftet qt_meta_data -Objekte, die vom Qt Moc erstellt wurden.
• Identifiziert und beschriftet qt_static_metacall -Funktionen, die vom Qt Moc erstellt wurden.
• Anmerkungen bei Kommentaren Die zuvor identifizierten qt_static_metacall funktionieren mit den Methoden und Eigenschaften, die aus den QT -Meta -Daten wiederhergestellt wurden.
• Identifiziert und wendet Methodensignaturen, dh qt -Methoden (Signale und Slots) ab, ihren ursprünglichen Namen, Parametertypen und manchmal auch Parameternamen abhängig von den verfügbaren Metadaten.
• Identifiziert und wendet Eigenschaften Namen und Typen in die Basis -QT -Klasse an, dh QT -Eigenschaften erhalten ihren ursprünglichen Namen und manchmal auch vollständige Typen, abhängig von den verfügbaren Metadaten und werden im Klassendatyp erstellt, zu dem sie gehören.

Dieser Analysator ist an die Ghidra -Version gebunden, auf der er installiert wird. Derzeit ist es notwendig, es zu bauen; Für die neuesten Ghidra -Versionen werden in Zukunft gebaute Erweiterungen bereitgestellt.

1. Installieren Sie Gradle
2. Navigieren Sie zum Ordner QtREAnalyzerQtREAnalyzer

 cd QtREAnalyzer Q tREAnalyzer

3. Erstellen Sie das Plugin für Ihre Ghidra -Installation (ersetzen Sie $GHIDRA_DIR durch Ihr Installationsverzeichnis). Wenn Sie beispielsweise den folgenden Ghidra -Installationspfad C:ghidra_11.0.3_PUBLIC haben, würden Sie gradle -PGHIDRA_INSTALL_DIR=C:ghidra_11.0.3_PUBLIC ausführen.

gradle -PGHIDRA_INSTALL_DIR= $GHIDRA_DIR 

1. Aus Ghidra Projects Manager: File -> Install Extensions... klicken Sie auf das + Zeichen und wählen Sie den QtREAnalyzerQtREAnalyzerdistghidra_*_QtREAnalyzer.zip und klicken Sie auf OK.
2. Starten Sie Ghidra wie angefordert neu

Um zu überprüfen, ob QTreanalyzer korrekt installiert ist, können Sie den CodeBrowser öffnen und Analysis auswählen -> Auto Analyze ... A und überprüfen Sie, ob die Option QtReAnalyzer vorliegt.

• Wenden Sie automatisch Funktionssignaturen an, die von QT -Metadaten wiederhergestellt wurden, siehe 1.
• Wenden Sie automatisch Eigenschaften Namen und Typen aus QT -Metadaten an, siehe 1.
• Verbindungen zwischen Signalen und Slots wiederherstellen.
• Identifizieren und wiederherstellen Sie mehr QT -Klassen und -Methoden.

Derzeit funktioniert QTreanalyzer nur mit X32- oder X64 -Binärdateien mit RTTI (dh mit dem MSVC -Compiler zusammengestellt). Dies ist der Fall, da QTreanalyzer RTTI verwendet, um zu finden, ob Klassen von QObject erben. Wenn man diesen Analysator so erweitern möchte, dass man mit Binärdateien ohne RTTI arbeitet, ist nur die erforderliche Änderung der RttiClass.java -Datei angemessen zu ändern.

In sehr seltenen Fällen wird eine falsche Signatur auf eine Funktion angewendet, oder eine Eigenschaft wird einem Datentyp in der falschen Adresse hinzugefügt. Dies ist fast unmöglich zu beheben, da QTreanalyzer QT -Signale, Slots und Eigenschaften zu der entsprechenden Funktionsadresse/Propertie -Offset heuristisch basiert. Dies sollte keine große Einschränkung sein, in einer Datei mit über 10 000 QT -Signalen und Slots, die manuell eine umfangreiche Stichprobe überprüfen, fand ich nur eine Handvoll fälschlicherweise beschrifteter Symbole.

Qreanalyzer wäre ohne die folgenden erstaunlichen Ressourcen nicht möglich gewesen:

• Der Artikel "Eiersuche in Tesla Infotainment: Ein erster Blick auf die Reverse Engineering von QT -Binärdateien" von Wen, Haohuang und Lin, Zhiqiang und seinem Github -Repository
• https://ktln2.org/reversing-c%2b%2b-qt-anapplications-using-ghidra/
• https://woboq.com/blog/how-qt-signals-slots-work.html
• https://www.codeprroject.com/articles/31330/qt-internals-reversing