QtREAnalyzer

QTreanalyzer est un analyseur Ghidra conçu pour les binaires inversés des ingénieurs qui utilisent le cadre QT. Sa fonction principale est de récupérer les informations d'objet et de méthode spécifiques au QT, fournissant des informations précieuses sur les structures binaires.

• Fonctionne sur des binaires sans symboles de débogage.
• Identifie et étiquette des objets staticMetaObject créés par le QT MOC.
• Identifie et étiquette des objets QT_META_STRINGDATA créés par le QT MOC.
• Identifie et étiquette les objets QT_META_DATA créés par le QT MOC.
• Identifie et étiquette les fonctions QT_STATIC_METACALL créées par le QT MOC.
• Annote avec des commentaires Le QT_STATIC_Metacall précédemment identifié fonctionne avec les méthodes et les signatures de propriétés récupérées à partir des méta-données QT.
• Identifie et applique des signatures de méthode, c'est-à-dire que les méthodes QT (signaux et emplacements) obtiennent leur nom d'origine, leurs types de paramètres et parfois les noms de paramètres en fonction des métadonnées disponibles.
• Identifie et applique des noms et des types de propriétés à la classe QT de base, c'est-à-dire que les propriétés QT obtiennent leur nom d'origine et parfois les types complets en fonction des métadonnées disponibles, et sont créés dans le type de données de classe auquel ils appartiennent.

Cet analyseur est lié à la version Ghidra sur laquelle il est installé. Est actuellement nécessaire pour le construire; Des extensions construites seront fournies à l'avenir pour les dernières versions Ghidra.

1. Installer Gradle
2. Accédez au dossier QtREAnalyzerQtREAnalyzer

 cd QtREAnalyzer Q tREAnalyzer

3. Construisez le plugin pour votre installation Ghidra (remplacez $GHIDRA_DIR par votre répertoire d'installation). Par exemple, si vous avez le chemin d'installation de Ghidra suivant C:ghidra_11.0.3_PUBLIC vous exécuteriez gradle -PGHIDRA_INSTALL_DIR=C:ghidra_11.0.3_PUBLIC .

gradle -PGHIDRA_INSTALL_DIR= $GHIDRA_DIR 

1. De Ghidra Projects Manager: File -> Install Extensions... , cliquez sur le signe + et sélectionnez le QtREAnalyzerQtREAnalyzerdistghidra_*_QtREAnalyzer.zip et cliquez sur OK.
2. Redémarrez Ghidra comme demandé

Pour vérifier que QTrEanalyzer est correctement installé, vous pouvez ouvrir CodeBrowser et sélectionner Analysis -> Auto Analyze ... A et vérifier que l'option QtReAnalyzer existe.

• Appliquer automatiquement les signatures de fonction récupérées à partir des métadonnées QT, voir 1.
• Appliquer automatiquement les noms et types de propriétés à partir des métadonnées QT, voir 1.
• Récupérer les connexions entre les signaux et les emplacements.
• Identifier et récupérer plus de classes et de méthodes QT.

Actuellement, QTreanalyzer ne fonctionne qu'avec des binaires x32 ou x64 qui ont RTTI (c'est-à-dire compilé avec le compilateur MSVC). Il en est ainsi puisque QTreanalyzer utilise RTTI pour trouver si les classes héritent de QObject. Cela dit que si l'on veut étendre cet analyseur pour travailler avec des binaires sans RTTI, tout ce qui est nécessaire à faire est de modifier le fichier RttiClass.java de manière appropriée.

Dans de très rares cas, une signature incorrecte sera appliquée à une fonction ou une propriété sera ajoutée à un type de données dans l'adresse incorrecte. Ceci est presque impossible à corriger car la façon dont QTreanalyzer mappe les signaux QT, les emplacements et les signatures propriétés au décalage d'adresse / propriété de fonction correspondant est basé sur l'heuristique. Cela ne devrait pas être une limitation majeure, dans un fichier avec plus de 10 000 signaux QT et des machines à sous vérifiant manuellement un échantillon substantiel, je n'ai trouvé qu'une poignée de symboles étiquetés par erreur.

QTreanalyzer n'aurait pas été possible sans les ressources incroyables suivantes:

• L'article "Egg Hunt in Tesla Infodiverative: A First Award to Reverse Engineering of Qt Binaires" de Wen, Haohuang et Lin, Zhiqiang et son référentiel Github
• https://ktln2.org/reversing-c%2B%2B-qt-applications-using-ghidra/
• https://woboq.com/blog/how-qt-signals-slots-work.html
• https://www.codeproject.com/articles/31330/qt-internals-reversing