在嵌入式分析、安全审计与软件逆向领域,Qt 应用程序是一类典型的对象。相比传统 C++ 程序,Qt 引入了大量的元对象机制(Meta-Object System)、资源文件系统(qrc)、动态 UI 与翻译文件支持。这些特性使得 Qt 应用在反编译时既有挑战,也有价值。
本篇博文将以一款典型的 Qt 应用为例,手把手演示如何使用免费开源工具 Cutter(radare2 图形界面)对其进行完整的静态分析与反编译操作。
一、案例介绍:目标 Qt 应用简介
本次分析的目标是一个小型但结构完整的 Qt GUI 应用,使用 Qt5 Widgets 模块编写,功能为“简单登录对话框”,包含如下元素:
- 一个主窗口(QMainWindow)
- 两个文本框(用户名、密码)
- 一个登录按钮(QPushButton)
- 一个取消按钮(QPushButton)
- 使用信号槽连接
clicked()信号与login()槽函数
该程序已经被打包为 Linux 平台的 ELF 可执行文件,运行方式为:
./qt_login_demo
二、准备工作:工具安装与环境搭建
1. 安装 Cutter
Cutter 是 Radare2 提供的图形界面(GUI),具有以下优点:
- 支持 ELF、PE、Mach-O 格式;
- 支持反汇编、伪代码生成、符号识别、函数流分析;
- 支持自定义脚本插件,适合 Qt 资源分析扩展;
- 免费开源,跨平台可用。
安装方式:
# Ubuntu/Debian
sudo apt install cutter
# 或使用 AppImage / 官网二进制
https://cutter.re
三、第一步:确认 Qt 应用
在反编译前,需确认目标是否为 Qt 应用。
file qt_login_demo
# 输出应包含 ELF 64-bit LSB executable
ldd qt_login_demo
# 检查是否链接 Qt5 库,例如:
# libQt5Core.so.5 => /usr/lib/x86_64-linux-gnu/libQt5Core.so.5
使用 strings 命令进一步确认:
strings qt_login_demo | grep Qt
# 输出如:
# QtCore
# QPushButton
# QLineEdit
# loginWindow
确认完毕后,即可进入反编译流程。
四、第二步:使用 Cutter 加载程序
1. 打开文件
启动 Cutter,选择 “File” → “Open File”,选中 qt_login_demo 二进制,点击“Open”。
Cutter 会提示是否分析,点击 “Yes”。
等待分析完成后,界面将呈现主窗口布局,包括:
- 左侧:函数列表、段信息、字符串、导入导出符号
- 中间:反汇编代码或伪代码
- 下方:调试信息与搜索栏
五、第三步:结构还原与 UI 构造分析
1. 查找入口函数
Cutter 默认将 main() 函数标为入口函数,点击函数列表中的 main 查看内容:
int main() {
QApplication app(argc, argv);
LoginWindow w;
w.show();
return app.exec();
}
可看到 LoginWindow 是主窗口类,接下来分析其构造逻辑。
2. 定位 LoginWindow::LoginWindow 构造函数
在函数列表中查找 LoginWindow 或根据字符串分析:
strings qt_login_demo | grep LoginWindow
# 找到 "LoginWindow", "__ZN11LoginWindowC1Ev"
回到 Cutter,搜索符号 __ZN11LoginWindowC1Ev,即为构造函数。
点击进入该函数查看反汇编或伪代码内容。
3. 分析 setupUi 函数与控件创建逻辑
在构造函数中通常包含如下操作:
this->setupUi(this);
Cutter 中可见调用了 setupUi、QPushButton、QLineEdit 等函数:
call 0x00405b10 ; setupUi
mov rdi, this
call 0x00406230 ; QPushButton::setText
此处调用链构成了 UI 的静态布局过程,我们可以将这些调用视为控件初始化、属性赋值的过程。
六、第四步:信号槽机制识别
Qt 使用 QObject::connect 实现信号槽注册,我们可以搜索该函数:
strings qt_login_demo | grep connect
或者在 Cutter 中直接搜索函数调用 QObject::connect,查找类似以下内容:
QObject::connect(this->loginBtn, SIGNAL(clicked()), this, SLOT(onLoginClicked()));
在汇编中,可能看到:
lea rdi, [this->loginBtn]
lea rsi, offset of "2clicked()"
lea rdx, [this]
lea rcx, offset of "1onLoginClicked()"
call 0x004078a0 ; QObject::connect
其中 "2clicked()" 和 "1onLoginClicked()" 是 Qt 信号槽机制的关键符号格式,数字代表信号(2)与槽(1)。
七、第五步:提取与还原资源文件
若程序打包了资源文件(如图标、样式表、.ui 文件),可以通过以下方式尝试提取:
1. 搜索资源路径
strings qt_login_demo | grep ":/"
# 如输出: ":/icons/login.png"、":/ui/login.ui"
这说明应用中使用了 Qt Resource System。
2. 使用脚本提取资源
使用社区脚本 qrc_extractor:
python3 qrc_extractor.py qt_login_demo
若成功提取,文件结构会被恢复为 .ui / .png 等格式,可进一步打开查看。
八、第六步:伪代码阅读与行为还原
点击 onLoginClicked() 函数,进入伪代码视图,可观察实际槽函数的逻辑。
例如:
QString username = this->usernameEdit->text();
QString password = this->passwordEdit->text();
if (username == "admin" && password == "123456") {
QMessageBox::information(this, "登录成功", "欢迎进入系统!");
} else {
QMessageBox::warning(this, "登录失败", "用户名或密码错误!");
}
即使没有符号信息,通过分析调用栈、控件变量命名、字符串提示等方式,也能推测出程序的主要行为。
九、附加操作:使用 Cutter 调试 Qt 程序
Cutter 支持直接调试 ELF 程序:
- 在“Debug”选项中点击“Start Debugging”
- 设置断点(如
main、onLoginClicked) - 查看调用堆栈、寄存器与变量值
你还可以设置环境变量:
QT_QPA_PLATFORM=offscreen ./qt_login_demo
使其在没有显示服务器时也能运行,适用于嵌入式系统调试。
十、总结与实践建议
通过 Cutter,我们可以实现对 Qt 应用的完整反编译流程:
| 步骤 | 技术点 |
|---|---|
| 1️⃣ 识别 Qt 应用 | 静态字符串、库依赖 |
| 2️⃣ 分析构造函数 | 控件初始化、setupUi 调用 |
| 3️⃣ 信号槽连接 | QObject::connect 的参数分析 |
| 4️⃣ 资源提取 | qrc 文件与内嵌资源路径提取 |
| 5️⃣ 动作还原 | 通过伪代码还原业务逻辑 |
| 6️⃣ 动态调试 | 设置断点、跟踪信号响应过程 |
Cutter 对 Qt 应用的支持虽然不如 IDA Pro 商业工具强大,但凭借开源生态、radare2 强力引擎和插件机制,在中小型 Qt 应用分析中表现良好,足以支撑教学与安全分析场景。
📌 补充建议:
- 对于复杂程序,可以结合 Qt 源码理解其元对象机制;
- 若需自动化提取 UI 控件、槽函数,可考虑使用 radare2 脚本(r2pipe);
- Qt6 程序资源布局与 MOC 实现有所不同,需分别分析。
视频教程请关注 公众号和B 站:“嵌入式Jerry”
欢迎在评论区留言你遇到的 Qt 反编译难题,我们一起来拆解!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
