逆向C++：从手工到自动化分析

"逆向C++，一种理解和分析C++编译后代码的技术，旨在揭示程序的内部结构，包括类、构造函数、析构函数、继承关系和成员信息。随着C++在应用程序和恶意软件开发中的普及，逆向C++成为逆向工程的重要组成部分。本文由Paul Vincent Sabanal和Mark Vincent Yason撰写，Hannibal509@gmail.com和Team509翻译，详细介绍了逆向C++的手工方法和自动化工具。 I. 引言和必要性 逆向工程专家需要解析二进制代码以识别C++程序的架构，包括类、继承关系和成员变量。随着C++的广泛应用，掌握逆向C++技术变得至关重要，特别是因为越来越多的恶意软件使用C++编写。学习逆向C++有助于理解复杂程序的行为，从而有效对抗恶意软件。 II. 手工方法 A. 识别类及其构造函数 逆向工程师可以通过识别构造函数和析构函数的特征来定位类。这些函数通常在程序执行时初始化和清理对象。 B. 识别类 1) 构造函数和析构函数：通过对汇编代码的分析，可以发现调用特定函数的模式，这些模式可能对应于类的构造和析构。 2) RTTI（运行时类型信息）：C++的RTTI系统可以帮助识别多态类，因为它们包含了类型信息。 C. 判别类与类之间的关系 1) 通过构造函数分析：通过观察构造函数的调用链，可以推断出类之间的依赖关系。 2) RTTI分析：利用RTTI数据结构可以进一步确定类的继承层次。 D. 辨别类的成员 通过分析内存布局和函数调用来识别类的成员变量和成员函数。 III. 自动化 A. OOP_RE 这是一种自动化工具，用于辅助逆向C++分析，它能自动识别类结构和关系。 B. 为什么选择静态分析？ 静态分析无需运行程序，可以在早期阶段提供信息，减少了动态分析的复杂性。 C. 自动化分析的策略 1) 利用RTTI识别多态类：通过解析RTTI信息来发现类的层次结构。 2) 虚函数表识别：分析虚函数表以确定类的多态性。 3) 构造/析构函数搜索：根据函数调用模式识别类。 4) 继承关系识别：通过分析函数指针和内存布局来推断继承。 5) 类成员识别：通过内存访问模式和函数调用来查找成员变量和函数。 D. 显示结果 自动化工具可以生成注释的代码结构，改进的调用图表，帮助理解程序逻辑。 E. 分析结果可视化：UML图 通过将分析结果转换成UML模型，可以直观地展示类和它们的关系，便于理解和解释。 IV. 小结 逆向C++是一项复杂但重要的技能，结合手工分析和自动化工具，可以有效地揭露C++程序的内在结构，这对于安全分析和软件调试具有重大意义。"