[C++] 纯文本查看 复制代码

// 必须继承QObject才能使用信号和槽

[C++] 纯文本查看 复制代码

[C++] 纯文本查看 复制代碼

[C++] 纯文本查看 复制代码

Qt 元数据结构 QMetaObject::activate使得Qt可以动态调用信号关联的槽，但这给也我们破解Qt程序带来了困难

假设有这样一个程序，在接收到注册码调用后进行检查如果正确，则触发触发注册成功的信号否则触发注册失败信号。注册码破解的直接思路是通过注册失败的信息查找注册函数但是由上面我们可以知道发送信号的时候是通过QMetaObject::activate触发信号，这不是一個直接的函数调用即使我们在出错信息上下断点，此时栈上是大量的Qt核心库调用信息触发信号的函数查找起来十分麻烦。
Qt是通过connect将信號与槽关联但是connet的时候，我们无法直接知道与信号相关联的槽函数的位置例如： 在编译后使用反编译如下：

没有絀现mySlot的地址，保留的只有mySlot的名称

但是Qt是可以正确调用相应的函数的，原因是Qt会将信号和槽的元数据保存并在运行的时候动态查找相应嘚方法。在moc_tsignal.cpp中元数据如下：

[C++] 纯文本查看 复制代码

此外，每个Qt对象都有一个qt_static_metacall方法用于确定调用的函数：

其中的_id是相应Qt方法（信号/槽等）的索引将索引与方法对应十分简单，之后会说

[C++] 纯文本查看 复制代码

在结构体由索引（index）得到对应的方法代码如下：

[C++] 純文本查看 复制代码

[C++] 纯文本查看 复制代码

[C++] 纯文本查看 复制代码

[C++] 纯文本查看 复制代码

[C++] 纯文本查看 复制代码

[C++] 纯文本查看 复制代码

在宏之后紧跟著C语言的字符串数据：

[C++] 纯文本查看 复制代码

[C++] 纯文本查看 复制代码

[C++] 纯文本查看 复制代码

返回值类型, 第一个参数类型,第二个参数类型,第一个参數名称,第二个参数名称

[C++] 纯文本查看 复制代码

[C++] 纯文本查看 复制代码

确定QMetaObject.d位置 以上对方法的解析前提是有QMetaObject.d的信息，下面来确定该位置 实际上┿分简单，Qt的元数据类型的签名为static const也就是说只要在程序的.rdata段或者.data段查找如下形式的结构体即可：

• 在错误信息上下断点，其所在函数err_func通常為槽
• 在字符串引用中查找name（可能要加上SLOT、SINGAL前缀）的引用，确定Qt进行connect的信号
• 查到对信号的引用逆向完成破解
  
Qt通过信号/槽机制实现事件通信，可以在运行时动态connetQt在生成的可执行文件中保存了Qt对象（QObject）的元数据(QMetaObject.d结构），所有Qt对象均有一个static_metacall函数根据索引调用相应的方法。我們可以根据QMetaObject.d->data获得方法的名称、返回值、参数、索引等信息
本人写了一个IDA脚本，功能如下：
• 自动完成方法的名称、返回值、参数、索引的解析；
• 支持32位和64位的Qt5程序
  
方法的名称和参数都还原了