QtREAnalyzer

QtreAnalyzer adalah penganalisa GHIDRA yang dirancang untuk binari mesin terbalik yang memanfaatkan kerangka kerja QT. Fungsi utamanya adalah untuk memulihkan objek spesifik QT dan informasi metode, memberikan wawasan berharga ke dalam struktur biner.

• Bekerja pada binari tanpa simbol debug.
• Mengidentifikasi dan label objek staticmetaObject yang dibuat oleh QT MOC.
• Mengidentifikasi dan label objek qt_meta_stringdata yang dibuat oleh qt moc.
• Mengidentifikasi dan label objek qt_meta_data yang dibuat oleh qt moc.
• Mengidentifikasi dan Label Fungsi QT_STATIC_METACALL yang dibuat oleh QT MOC.
• Anotasi dengan komentar fungsi QT_STATIC_METACALL yang diidentifikasi sebelumnya dengan metode dan tanda tangan properti yang dipulihkan dari data meta QT.
• Mengidentifikasi dan menerapkan tanda tangan metode, yaitu metode QT (sinyal dan slot) mendapatkan nama aslinya, jenis parameter dan kadang -kadang nama parameter tergantung pada metadata yang tersedia.
• Mengidentifikasi dan menerapkan nama dan jenis properti ke kelas QT dasar, yaitu properti QT mendapatkan nama aslinya dan kadang -kadang tipe penuh tergantung pada metadata yang tersedia, dan dibuat dalam tipe data kelas yang dimiliki mereka.

Penganalisa ini terikat pada versi Ghidra yang sedang diinstal. Saat ini diperlukan untuk membangunnya; Ekstensi yang dibangun akan disediakan di masa depan untuk versi Ghidra terbaru.

1. Instal Gradle
2. Arahkan ke folder QtREAnalyzerQtREAnalyzer

 cd QtREAnalyzer Q tREAnalyzer

3. Bangun plugin untuk instalasi GHIDRA Anda (ganti $GHIDRA_DIR dengan direktori instalasi Anda). Misalnya, jika Anda memiliki jalur instalasi GHIDRA berikut C:ghidra_11.0.3_PUBLIC Anda akan menjalankan gradle -PGHIDRA_INSTALL_DIR=C:ghidra_11.0.3_PUBLIC .

gradle -PGHIDRA_INSTALL_DIR= $GHIDRA_DIR 

1. Dari Ghidra Projects Manager: File -> Install Extensions... , klik pada tanda + dan pilih QtREAnalyzerQtREAnalyzerdistghidra_*_QtREAnalyzer.zip dan klik OK.
2. Restart ghidra seperti yang diminta

Untuk memverifikasi qtreAnalyzer diinstal dengan benar, Anda dapat membuka codebrowser dan memilih Analysis -> Auto Analyze ... A dan periksa apakah opsi QtReAnalyzer ada.

• Secara otomatis menerapkan tanda tangan fungsi yang dipulihkan dari metadata QT, lihat 1.
• Secara otomatis menerapkan nama dan jenis properti dari metadata QT, lihat 1.
• Pulihkan koneksi antara sinyal dan slot.
• Mengidentifikasi dan memulihkan lebih banyak kelas dan metode QT.

Saat ini QtreAnalyzer hanya bekerja dengan biner x32 atau x64 yang memiliki RTTI (yaitu dikompilasi dengan kompiler MSVC). Ini sangat karena qtreAnalyzer menggunakan RTTI untuk menemukan jika kelas mewarisi dari QObject. Ini mengatakan jika seseorang ingin memperluas penganalisa ini untuk bekerja dengan binari tanpa RTTI semua yang perlu dilakukan adalah memodifikasi file RttiClass.java dengan tepat.

Dalam kasus yang sangat jarang, tanda tangan yang salah akan diterapkan pada fungsi atau properti akan ditambahkan ke tipe data dalam alamat yang salah. Ini hampir tidak mungkin untuk diperbaiki karena cara QtreAnalyzer memetakan sinyal QT, slot dan tanda tangan properti ke alamat fungsi/propertie Offset yang sesuai berdasarkan heuristik. Ini seharusnya tidak menjadi batasan utama, dalam file dengan lebih dari 10.000 sinyal qt dan slot memeriksa secara manual sampel substansial saya hanya menemukan beberapa simbol berlabel keliru.

QtreAnalyzer tidak akan mungkin terjadi tanpa sumber daya luar biasa berikut:

• Artikel "Perburuan Telur di Infotainment Tesla: Pandangan Pertama pada Rekayasa Balik Binari Qt" oleh Wen, Haohuang dan Lin, Zhiqiang dan repositori GitHubnya
• https://ktln2.org/reversing-c%2b%2b-qt-applications-using-ghidra/
• https://woboq.com/blog/how-qt-signals-slots-work.html
• https://www.codeproject.com/articles/31330/qt-internals-reversing