C++编译后的二进制文件由于存在符号修饰、类结构封装、函数重载等特性,逆向分析难度比C语言更高,Ghidra作为功能全面的开源逆向工具,能有效辅助我们解析这类文件的核心逻辑。接下来我们将逐步介绍使用Ghidra分析C++二进制文件的基础流程。

环境准备与项目创建
首先需要从官方渠道获取Ghidra安装包,解压后运行启动脚本即可打开工具。新建项目时选择非共享项目,设置项目名称和存储路径后,就可以导入待分析的C++二进制文件。导入时Ghidra会自动识别文件格式和架构,多数情况下保持默认配置即可完成导入。
基础分析流程
自动分析与符号解析
导入文件后右键选择分析选项,勾选常用的分析器,尤其是和符号恢复、函数识别相关的选项,点击分析按钮后工具会自动遍历二进制文件内容,识别函数入口、字符串引用和基本的控制流结构。针对C++特有的符号修饰问题,Ghidra内置了demangling功能,可以自动将修饰后的符号还原为可读的函数名和类名。
函数与类的识别
分析完成后可以在符号树窗口看到还原后的函数和类结构,双击函数名即可进入反编译视图,查看反编译生成的类C代码。对于C++类成员函数,Ghidra会标注所属的类,方便我们梳理类的继承关系和成员函数的调用逻辑。如果遇到未识别的函数,可以手动标记函数边界,补充自定义的数据类型来提升反编译的可读性。
简单代码示例与对应分析
我们先编写一个简单的C++测试程序,编译生成二进制文件后用于分析:
#include <iostream>
using namespace std;
class Test {
public:
int add(int a, int b) {
return a + b;
}
};
int main() {
Test t;
int result = t.add(1, 2);
cout << result << endl;
return 0;
}
将上述代码编译为无调试符号的二进制文件后导入Ghidra,自动分析后可以在符号树中找到Test::add和main两个函数,反编译视图中可以看到Test::add的逻辑被还原为类似下面的代码:
int Test::add(int a,int b) {
return a + b;
}
main函数的反编译结果也会清晰展示Test对象的创建和add函数的调用过程,帮助我们快速理解原程序的执行逻辑。
常见问题处理
- 如果遇到符号修饰还原失败的情况,可以手动在选项里开启对应编译器的demangling规则,比如GCC或者MSVC的修饰规则。
- 对于复杂的类结构,Ghidra可能无法自动识别成员变量,此时可以手动在数据类型管理窗口定义类的结构,关联到对应的内存偏移,提升反编译结果的准确性。
- 分析过程中可以结合字符串窗口和交叉引用功能,定位关键函数的调用位置,梳理程序的完整执行流程。