QtREAnalyzer

QTreanalyzer es un analizador de Ghidra diseñado para binarios de ingeniería inversa que utilizan el marco QT. Su función principal es recuperar información de objetos y métodos específicos de QT, proporcionando información valiosa sobre las estructuras binarias.

• Funciona en binarios sin símbolos de depuración.
• Identifica y etiqueta objetos StaticMetaObject creados por el MOC QT.
• Identifica y etiquetas objetos QT_Meta_StringData creados por QT MOC.
• Identifica y etiquetas objetos QT_Meta_Data creados por QT MOC.
• Identifica y etiquetas las funciones QT_STATIC_METACALL creadas por QT MOC.
• Anota con comentarios las funciones QT_STATIC_METACALL identificadas previamente con las firmas de métodos y propiedades recuperadas de los meta datos QT.
• Identifica y aplica firmas de métodos, es decir, los métodos QT (señales y ranuras) obtienen su nombre original, tipos de parámetros y, a veces, nombres de parámetros dependiendo de los metadatos disponibles.
• Identifica y aplica los nombres y tipos de propiedades a la clase QT base, es decir, las propiedades QT obtienen su nombre original y, a veces, los tipos completos dependiendo de los metadatos disponibles, y se crean en el tipo de datos de clase al que pertenecen.

Este analizador está vinculado a la versión de Ghidra en la que se está instalando. Actualmente es necesario para construirlo; Las extensiones construidas se proporcionarán en el futuro para las últimas versiones de Ghidra.

1. Instalar Gradle
2. Navegue a la carpeta QtREAnalyzerQtREAnalyzer

 cd QtREAnalyzer Q tREAnalyzer

3. Cree el complemento para su instalación de Ghidra (reemplace $GHIDRA_DIR con su directorio de instalación). Por ejemplo, si tiene la siguiente ruta de instalación de Ghidra C:ghidra_11.0.3_PUBLIC ejecutaría gradle -PGHIDRA_INSTALL_DIR=C:ghidra_11.0.3_PUBLIC .

gradle -PGHIDRA_INSTALL_DIR= $GHIDRA_DIR 

1. Desde Ghidra Projects Manager: File -> Install Extensions... , haga clic en el signo + y seleccione QtREAnalyzerQtREAnalyzerdistghidra_*_QtREAnalyzer.zip y haga clic en Aceptar.
2. Reiniciar ghidra según lo solicitado

Para verificar que QTreanalyzer se instale correctamente, puede abrir CodeBrowser y seleccionar Analysis -> Auto Analyze ... A y verifique que exista la opción QtReAnalyzer .

• Aplicar automáticamente las firmas de la función recuperadas de los metadatos QT, ver 1.
• Aplicar automáticamente los nombres y tipos de propiedades de los metadatos QT, ver 1.
• Recupere las conexiones entre señales y ranuras.
• Identificar y recuperar más clases y métodos QT.

Actualmente, QTreanalyzer solo funciona con binarios X32 o X64 que tienen RTTI (es decir, compilado con el compilador MSVC). Esto es así ya que QTreanalyzer usa RTTI para encontrar si las clases heredan de Qobject. Dicho esto, si uno quiere extender este analizador para trabajar con binarios sin RTTI, todo lo que es necesario hacer es modificar el archivo RttiClass.java adecuadamente.

En casos muy raros, se aplicará una firma incorrecta a una función o se agregará una propiedad a un tipo de datos en la dirección incorrecta. Esto es casi imposible de solucionar, ya que la forma en que QTreanalyzer mapea las señales QT, las ranuras y las firmas de propiedades a la dirección de función/compensación de propiedades correspondientes se basa en heurística. Esto no debería ser una limitación importante, en un archivo con más de 10 000 señales de Qt y ranuras verificando manualmente una muestra sustancial, solo encontré un puñado de símbolos etiquetados erróneamente.

QTreanalyzer no habría sido posible sin los siguientes recursos sorprendentes:

• El artículo "Caza de huevos en el infoentretenimiento de Tesla: una primera mirada a la ingeniería inversa de los binarios QT" de Wen, Haohuang y Lin, Zhiqiang y su repositorio de Github
• https://ktln2.org/reversing-C%2B%2B-qt-applications-Using-ghidra/
• https://woboq.com/blog/how-qt-signals-slots-work.html
• https://www.codeproject.com/articles/31330/qt-internals-reversing