逆向工程C++：深入理解对象导向代码的解剖

"这篇文档是关于逆向C++的，主要探讨了如何手动识别和自动化分析C++对象导向代码的方法，以及开发的工具来增强反汇编结果。作者包括Paul Vincent Sabanal和Mark Vincent Yason，他们都是IBM Internet Security Systems X-Force R&D的研究员。" 逆向C++是近年来随着C++在恶意软件和现代应用程序中广泛应用而变得越来越重要的技能。传统的逆向工程师可能只需要了解C语言和汇编就能解析大多数应用，但现在，理解C++的面向对象代码反汇编成为了必备技能。 文档首先介绍了引入和动机，强调了掌握逆向C++的重要性，特别是在安全领域，因为很多恶意软件和现代应用都是用C++编写的。 在手动方法部分，文档详细阐述了如何识别C++二进制文件和构造，以及如何识别类。识别类的关键步骤包括： 1. 识别构造函数/析构函数：这些特殊函数在C++中用于初始化和清理对象，它们在反汇编代码中具有特定的模式。 2. 通过运行时类型信息（RTTI）识别多态类：RTTI允许程序在运行时查询对象的实际类型，这在反汇编中可以通过特定的结构和指针找到线索。 接着，文档讨论了如何识别类之间的关系： 1. 通过构造函数分析：构造函数调用顺序和参数可以揭示类的继承关系。 2. 通过RTTI识别多态类关系：RTTI还可以用来发现类之间的多态性，例如虚函数表的结构和使用。 此外，文档还涵盖了识别类成员的技术，这是理解C++对象结构的关键，包括数据成员和成员函数。 自动化分析部分，文档可能讨论了利用编写脚本或工具自动识别上述手动方法中的模式，以提高分析效率和准确性。这通常涉及对反汇编代码的深度解析，寻找特定的函数调用、内存访问模式以及与C++特性相关的其他标志。 这份文档提供了深入理解C++反汇编和进行逆向工程的实用技术，对于安全研究人员和逆向工程师来说，是一份非常有价值的参考资料。通过学习和实践其中的方法，读者将能够更有效地分析和理解C++编写的复杂代码。