QtREAnalyzer

Qtreanalyzer-это анализатор Ghidra, предназначенный для двухлетних обработанных инженеров, которые используют структуру QT. Его основная функция-восстановить QT-специфичную информацию и информацию о методе, предоставляя ценную информацию о двоичных структурах.

• Работает на двоичных файлах без символов отладки.
• Идентифицирует и маркирует объекты StaticMetaObject, созданные QT MOC.
• Определяет и помечает объекты QT_META_STRINGDATA, созданные QT MOC.
• Определяет и маркирует объекты QT_META_DATA, созданные QT MOC.
• Определяет и помечает функции QT_STATIC_METACALL, созданные QT MOC.
• Аннотирует с комментариями. Ранее идентифицированные функции QT_STATIC_METACALL с помощью методов и подписей свойств, восстановленных из метаданных QT.
• Определяет и применяет подписи метода, то есть методы QT (сигналы и слоты) Получают их исходное имя, типы параметров, а иногда и имена параметров в зависимости от доступных метаданных.
• Определяет и применяет имена и типы свойств к базовому классу QT, то есть свойства QT получают свое первоначальное имя, а иногда и полные типы в зависимости от доступных метаданных и создаются в типе данных класса, к которым они принадлежат.

Этот анализатор привязан к версии Ghidra, на которую он устанавливается. В настоящее время необходимо его построить; Построенные расширения будут предоставлены в будущем для последних версий Ghidra.

1. Установить градл
2. Перейдите в папку QtREAnalyzerQtREAnalyzer

 cd QtREAnalyzer Q tREAnalyzer

3. Создайте плагин для установки Ghidra (замените $GHIDRA_DIR на свой каталог установки). Например, если у вас есть следующий путь установки Ghidra C:ghidra_11.0.3_PUBLIC вы бы запустили gradle -PGHIDRA_INSTALL_DIR=C:ghidra_11.0.3_PUBLIC .

gradle -PGHIDRA_INSTALL_DIR= $GHIDRA_DIR 

1. От менеджера Projects Ghidra: File -> Install Extensions... , нажмите на знак + и выберите QtREAnalyzerQtREAnalyzerdistghidra_*_QtREAnalyzer.zip и нажмите OK.
2. Перезапустите Ghidra по запросу

Чтобы проверить Qtreanalyzer правильно установлен, вы можете открыть CodeBrowser и выбрать Analysis -> Auto Analyze ... A и проверить, что опция QtReAnalyzer существует.

• Автоматическое применение подписей функций, восстановленных из метаданных QT, см. 1.
• Автоматически применяйте имена и типы свойств из метаданных QT, см. 1.
• Восстановить соединения между сигналами и слотами.
• Определить и восстановить больше классов QT и методов.

В настоящее время Qtreanalyzer работает только с двумя двоичными файлами x32 или X64, которые имеют RTTI (то есть скомпилированным с компилятором MSVC). Это так, так как Qtreanalyzer использует RTTI, чтобы найти, наследуют ли классы от Qobject. Это сказано, если кто -то хочет расширить этот анализатор для работы с двоичными файлами без RTTI, все, что необходимо для того, чтобы изменить файл RttiClass.java соответствующим образом.

В очень редких случаях к типу данных будет добавлен неверная подпись, иначе будет добавлено свойство в тип данных в неправильном адресе. Это практически невозможно исправить, так как Qtreanalyzer отображает сигналы, слоты и подписи QTERANALY Это не должно быть основным ограничением, в файле с более чем 10 000 сигналов QT и слотами, проверяющими вручную существенный образец, я обнаружил только несколько ошибочно маркированных символов.

Qtreanalyzer был бы невозможным без следующих удивительных ресурсов:

• Статья «Охота на яйца в информационно -развлекательной области Тесла: первый взгляд на обратный инженер QT Binaries» от Wen, Haohuang и Lin, Zhiqiang и его репозитория GitHub
• https://ktln2.org/reversing-com%2B%2B-QT-Applications-using-ghidra/
• https://woboq.com/blog/how-qt-signals-slots-work.html
• https://www.codeproject.com/articles/31330/qt-internals-reversing