QtREAnalyzer

O qTreanalyzer é um analisador Ghidra projetado para binários de engenheiros reversos que utilizam a estrutura QT. Sua função principal é recuperar informações de objetos e métodos específicos para QT, fornecendo informações valiosas sobre estruturas binárias.

• Trabalha em binários sem símbolos de depuração.
• Identifica e rótulos StaticMetaObject Objetos criados pelo QT MOC.
• Identifica e etiquetas qt_meta_stringdata Objetos criados pelo QT MOC.
• Identifica e etiquetas qt_meta_data Objetos criados pelo QT MOC.
• Identifica e etiquetas qt_static_metacall funções criadas pelo QT MOC.
• Anota com comentários O QT_STATIC_METACALL Identificado anteriormente funciona com os métodos e assinaturas de propriedades recuperadas dos meta -dados QT.
• Identifica e aplica assinaturas de métodos, ou seja, métodos QT (sinais e slots) obtêm seu nome original, tipos de parâmetros e, às vezes, nomes de parâmetros, dependendo dos metadados disponíveis.
• Identifica e aplica nomes e tipos de propriedades à classe QT base, ou seja, as propriedades QT recebem seu nome original e, às vezes, tipos completos, dependendo dos metadados disponíveis, e são criados no tipo de dados de classe que pertencem.

Este analisador está vinculado à versão Ghidra em que está sendo instalado. Atualmente é necessário para construí -lo; Extensões construídas serão fornecidas no futuro para as mais recentes versões de Ghidra.

1. Instale o gradle
2. Navegue até a pasta QtREAnalyzerQtREAnalyzer

 cd QtREAnalyzer Q tREAnalyzer

3. Crie o plug -in para sua instalação Ghidra (substitua $GHIDRA_DIR pelo seu diretório de instalação). Por exemplo, se você tiver o seguinte caminho de instalação ghidra C:ghidra_11.0.3_PUBLIC executaria gradle -PGHIDRA_INSTALL_DIR=C:ghidra_11.0.3_PUBLIC .

gradle -PGHIDRA_INSTALL_DIR= $GHIDRA_DIR 

1. Do Ghidra Projects Manager: File -> Install Extensions... , clique no sinal + e selecione o QtREAnalyzerQtREAnalyzerdistghidra_*_QtREAnalyzer.zip e clique em OK.
2. Reiniciar ghidra conforme solicitado

Para verificar o qtreanalyzer está instalado corretamente, você pode abrir o código de código e selecionar Analysis -> Auto Analyze ... A e verifique se a opção QtReAnalyzer existe.

• Aplique automaticamente as assinaturas de função recuperadas dos metadados QT, consulte 1.
• Aplique automaticamente os nomes e tipos de propriedades dos metadados QT, consulte 1.
• Recupere as conexões entre sinais e slots.
• Identifique e recupere mais classes e métodos QT.

Atualmente, o QTeanalyzer trabalha apenas com binários x32 ou x64 que possuem RTTI (ou seja, compilados com o compilador MSVC). Isso ocorre desde que o qtreanalyzer usa o RTTI para descobrir se as classes herdam do QOBject. Dito isto, se alguém quiser estender esse analisador para trabalhar com binários sem o RTTI, tudo o que é necessário para fazer é modificar o arquivo RttiClass.java adequadamente.

Em casos muito raros, uma assinatura incorreta será aplicada a uma função ou uma propriedade será adicionada a um tipo de dados no endereço incorreto. Isso é quase impossível de corrigir, pois a maneira como o QTeanalyzer mapeia sinais, slots e assinaturas de propriedades para o endereço de função/deslocamento de função correspondente é baseado em heurística. Isso não deve ser uma limitação importante, em um arquivo com mais de 10.000 sinais QT e slots verificando manualmente uma amostra substancial, encontrei apenas um punhado de símbolos marcados erroneamente.

O QTeanalyzer não teria sido possível sem os seguintes recursos incríveis:

• O artigo "Hunt de ovo em Tesla Infotainment: uma primeira olhada na engenharia reversa dos binários QT", de Wen, Haohuang e Lin, Zhiqiang e seu repositório do GitHub
• https://ktln2.org/reversing-c%2b%2b-qt-applications-using-ghidra/
• https://woboq.com/blog/how-qt-signals-slots-work.html
• https://www.codeproject.com/articles/31330/qt-internals-reversing