逆向分析C++程序：从手工到自动化

"reverse c++.pdf" 逆向C++是一门技术，它涉及到对使用C++编程语言编写的软件进行分析，以理解其内部工作原理，尤其是当源代码不可用时。由于越来越多的应用程序和恶意软件使用C++进行开发，逆向C++的重要性日益凸显。C++的特性，如面向对象、多态性和模板，使得反汇编后的代码更加复杂，增加了逆向工程的难度。 I. 引言和必要性 逆向工程分析人员需要能够解析二进制可执行文件中的C++结构，识别类、类之间的关系以及成员。这是理解和分析C++程序的关键步骤，特别是在面对恶意软件时。手工分析二进制文件以提取类信息和关系是一项挑战，但它是必要的基础。 II. 手工方法 A. 识别类及其构造函数 识别类通常涉及查找构造函数和析构函数的迹象，这些函数在对象创建和销毁时执行特定操作。 B. 识别类 1) 构造函数和析构函数的识别有助于确定类的边界。 2) 运行时类型信息（RTTI）可用于识别多态类，因为C++的RTTI系统会保存类型信息。 C. 判别类与类之间的关系 1) 分析构造函数调用模式可以帮助识别类之间的关联。 2) RTTI也可用于分析继承关系。 D. 辨别类的成员 分析内存布局和函数调用模式可以揭露类的成员变量和方法。 III. 自动化 A. OOP_RE 自动化工具，如OOP_RE，旨在简化逆向C++的过程。 B. 为什么选择静态分析？ 静态分析允许在不运行程序的情况下进行分析，减少了动态行为的影响。 C. 自动化分析的策略 1) 利用RTTI自动识别多态类。 2) 通过虚拟函数表（vtable）识别多态类，即使没有RTTI信息。 3) 寻找构造/析构函数以定位类定义。 4) 分析继承关系，例如通过vtable结构。 5) 识别类成员，包括通过内存访问模式。 D. 显示结果 自动化工具会注释代码，改进调用图表，并可能生成UML图以直观地表示类结构。 E. 分析结果可视化 可视化工具如UML图可以清晰地展示类和类之间的关系，便于理解。 IV. 小结 掌握逆向C++技能对于安全研究人员、软件工程师以及任何需要深入了解C++程序的人来说至关重要。尽管这个过程可能复杂且耗时，但随着C++在恶意软件开发中的普及，了解逆向C++的方法和工具变得越来越重要。通过手工分析和自动化工具的结合，可以更有效地揭示C++程序的内部结构和行为。