逆 向 C + + .

### 逆向C++关键技术详解 #### I. 引言和必要性 随着现代软件开发技术的发展，C++因其高效性和强大的功能成为了许多高级应用程序和恶意软件开发的首选语言。因此，对于逆向工程师而言，掌握逆向C++程序的能力变得尤为重要。本文将详细介绍手动识别C++对象的方法，并探讨如何自动化这一过程。 #### II. 手工方法 ##### A. 识别类及其构造函数 在手动分析C++二进制文件的过程中，首先需要识别出类和它们的构造函数。以下是一些关键步骤： 1. **大量使用ECX寄存器**：在C++中，`this`指针通常存储在ECX寄存器中。因此，如果观察到某个函数频繁地使用ECX寄存器，则可以初步判断此函数可能是某个类的成员函数。 - **示例**：当看到ECX寄存器被赋值后紧接着调用了一个函数，或者在函数中ECX寄存器未被显式初始化就直接使用，这往往意味着这是一个成员函数。 2. **调用约定**：成员函数通常采用特定的调用约定。例如，参数被压入栈中，而`this`指针则通过ECX寄存器传递。 - **示例**：在创建一个新的对象后，`new`操作符返回的指针会被立即传递给ECX寄存器，随后调用构造函数。 3. **识别构造函数和析构函数**：构造函数和析构函数有一些特定的行为模式可以帮助我们识别它们。 - **构造函数**：构造函数通常会初始化类的成员变量，可能还会调用基类或其他成员函数。 - **析构函数**：析构函数负责清理工作，释放由构造函数分配的资源。 4. **利用RTTI识别多态类**：运行时类型信息(RTTI)可以用来识别多态类。通过检查对象的vtable，可以确定对象的具体类型。 - **示例**：如果一个类使用了虚函数，则它将有一个指向vtable的指针。通过查找这些指针，可以识别出哪些类支持多态行为。 ##### B. 识别类与类之间的关系 1. **通过分析构造函数**：类的构造函数通常会调用基类或其他类的构造函数，从而揭示类之间的继承或关联关系。 2. **通过RTTI分析类与类之间的关系**：除了直接调用之外，RTTI还可以帮助识别继承关系。每个类都有一个唯一的类型标识，通过比较这些标识，可以推断出类与类之间的关系。 ##### C. 辨别类的成员 1. **成员变量**：类的成员变量通常是类实例的一部分。通过跟踪构造函数中的初始化语句，可以识别出成员变量。 2. **成员函数**：成员函数通常通过`this`指针访问成员变量。通过分析函数内部的调用和操作，可以识别出成员函数。 #### III. 自动化 自动化逆向C++程序的目标是为了提高效率和准确性。以下是自动化过程中的一些关键技术和策略： ##### A. OOP_RE (面向对象程序的逆向工程工具) OOP_RE是一种专门用于逆向C++程序的自动化工具，它基于上述手动方法，但通过算法和数据分析实现了自动化。 ##### B. 为什么选择静态分析的方式？ 1. **无需运行目标程序**：静态分析不需要实际运行目标程序，减少了潜在的风险。 2. **更易于控制和扩展**：静态分析可以更容易地集成到自动化流程中，并且可以轻松扩展以支持更多特性。 ##### C. 自动化分析的策略 1. **利用RTTI识别多态类**：通过搜索包含RTTI信息的结构，可以自动识别支持多态行为的类。 2. **利用虚函数表识别多态类（不使用RTTI）**：即使没有RTTI信息，也可以通过查找虚函数表来识别多态类。 3. **通过搜索构造/析构函数来识别类**：通过搜索构造函数和析构函数的特征，可以自动识别出类的存在。 4. **识别类与类之间的继承关系**：通过分析构造函数的调用序列和其他相关信息，可以自动推断出继承关系。 5. **类的成员的识别**：通过分析函数调用和数据流，可以识别出成员变量和成员函数。 ##### D. 显示结果 1. **注释各种结构体**：自动生成的注释有助于理解程序的结构。 2. **改进过的调用图表**：提供更清晰的函数调用关系图，便于追踪程序流程。 3. **分析结果可视化：UML图**：将逆向工程的结果以图形化的形式展示，便于理解和交流。 #### IV. 小结 逆向C++程序是一项复杂但非常有价值的技能。通过本篇文章介绍的手动方法和自动化工具，我们可以更加有效地分析C++程序，发现其中的关键逻辑和结构。随着C++在软件开发中的应用越来越广泛，掌握这些技术对于安全研究人员和逆向工程师来说至关重要。