llvm中ll文件解读

最新推荐文章于 2025-03-10 15:55:38 发布
最新推荐文章于 2025-03-10 15:55:38 发布
阅读量1.8k 收藏 38
点赞数 49
文章标签: 服务器 算法 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Libao657/article/details/144052992
版权

对于常见的llvm pass,网上已有很多文章,但是最近的CTF赛题也会出现在原本的llvm pass的基础上考察对ll文件的理解,需要对ll文件进行修改才能过了交互,本文将以几个例题阐述笔者对ll文件一些相关概念的理解,希望对你学习llvm pass有所帮助
ll文件中常见变量的理解
@ - 全局变量
% - 局部变量
alloca - 在当前执行的函数的堆栈帧中分配内存,当该函数返回到其调用者时,将自动释放内存
i32 - 32位4字节的整数
align - 对齐
load - 读出,store写入
icmp - 两个整数值比较,返回布尔值
br - 选择分支,根据条件来转向label,不根据条件跳转的话类型goto
label - 代码标签
call - 调用函数
例题WMCTF-2024 babysigin
很重要的一些理解
CallInst:函数类型的变量
LoadInst:ll中应对应load指令
StoreInst:ll中应对应store指令
llvm::dyn_cast:这种就是判断其是否是GlobalVariable/LoadInst/StoreInst类型
有关LoadInst
发现想要满足LoadInst类型,那么传入的不应该是个直接的值,而是先int cmd=1234,func(cmd)用这种方式传参即可
再详细解释一下LoadInst,比如我的exp.c中是这样的

WMCTF_WRITE(0x8888);
那么ll文件就会是这样,显然不满足load

call void @WMCTF_WRITE(i32 noundef 34952)
但如果先定义一个变量再传参

int cmd = 0x8888;
WMCTF_WRITE(cmd);
那么ll文件就长这样

@cmd = dso_local global i32 34952, align 4
%1 = load i32, i32* @cmd, align 4
call void @WMCTF_WRITE(i32 noundef %1)
显然这样就满足load类型了!!!

有关StoreInst
这部分和LoadInst类似,可以在WMCTF_OPEN分析中的最后一关这部分看到如何解决
这里先看简单的 WMCTF_OPEN 和 WMCTF_READ
v77 = llvm::ilist_iterator,false,false>::operator*(&v79);
//v76变成CallInst类型
v76 = (llvm::CallBase )llvm::dyn_cast(v77);
//WMCTF_READ******
v19 = (llvm::Value *)llvm::CallBase::getCalledFunction(v76);
//得到函数名称
v55 = llvm::Value::getName(v19);
v56 = v20;
llvm::StringRef::StringRef((llvm::StringRef *)v54, “WMCTF_READ”);
if ( (llvm::operator==(v55, v56, v54[0], v54[1]) & 1) != 0 )
{
//得到函数的第0个参数
v21 = llvm::CallBase::getOperand(v76, 0);
//将这个参数转换为ConstantInt类型
v53 = (llvm::ConstantInt *)llvm::dyn_cast(v21);
if ( v53 && llvm::ConstantInt::getSExtValue(v53) == 0x6666 )
{
v22 = (llvm *)fd;
if ( read(fd, (void *)mmap_addr, 0x40uLL) < 0 )
{
v23 = llvm::errs(v22);
llvm::raw_ostream::operator<<(v23, “WMCTF_READ error\n”);
v86 = 0;
return v86 & 1;
}
v24 = llvm::errs(v22);
llvm::raw_ostream::operator<<(v24, “WMCTF_READ success\n”);
}
}
//*******WMCTF_MMAP
//与WMCTF_READ类似不再做分析
v25 = (llvm::Value *)llvm::CallBase::getCalledFunction(v76);
v51 = llvm::Value::getName(v25);
v52 = v26;
llvm::StringRef::StringRef((llvm::StringRef *)v50, “WMCTF_MMAP”);
if ( (llvm::operator==(v51, v52, v50[0], v50[1]) & 1) != 0 )
{
v27 = llvm::CallBase::getOperand(v76, 0);
v49 = (llvm::ConstantInt *)llvm::dyn_cast(v27);
if ( v49 && llvm::ConstantInt::getSExtValue(v49) == 0x7890 )
{
mmap_addr = mmap(0LL, 0x1000uLL, 3, 33, 0, 0LL);
if ( mmap_addr == (const void *)-1LL )
{
v28 = llvm::errs(0LL);
llvm::raw_ostream::operator<<(v28, “WMCTF_MMAP failed\n”);
}
else
{
v29 = llvm::errs(0LL);
llvm::raw_ostream::operator<<(v29, “WMCTF_MMAP success\n”);
}
}
}
分析完后发现WMCTF_OPEN 和 WMCTF_READ只要正常传参就行
再看WMCTF_WRITE
v30 = (llvm::Value *)llvm::CallBase::getCalledFunction(v76);
v47 = llvm::Value::getName(v30);
v48 = v31;
llvm::StringRef::StringRef((llvm::StringRef *)v46, “WMCTF_WRITE”);
if ( (llvm::operator==(v47, v48, v46[0], v46[1]) & 1) != 0 )
{
//获取函数的第0个参数
v32 = llvm::CallBase::getOperand(v76, 0);
//判断这个参数是否是LoadInst类型
v45 = (llvm::UnaryInstruction *)llvm::dyn_cast(v32);
if ( !v45 )
{
v86 = 0;
return v86 & 1;
}
//从LoadInst中获取第一个参数,判断其是否是全局变量
v33 = llvm::UnaryInstruction::getOperand(v45, 0);
v44 = (llvm::GlobalVariable *)llvm::dyn_cast(v33);
if ( !v44 )
{
v86 = 0;
return v86 & 1;
}
//是全局变量再从GlobalVariable获的第一个参数
v34 = llvm::GlobalVariable::getOperand(v44, 0);
//将获得的参数值转换为ConstantInt类型
v43 = (llvm::ConstantInt *)llvm::dyn_cast(v34);
if ( v43 )
{
if ( (unsigned int)llvm::ConstantInt::getSExtValue(v43) != 0x8888 )
{
v86 = 0;
return v86 & 1;
}
if ( write((int)&dword_0 + 1, mmap_addr, 0x40uLL) < 0 )
{
v35 = llvm::errs((llvm *)((char *)&dword_0 + 1));
llvm::raw_ostream::operator<<(v35, “WMCTF_WRITE error\n”);
v86 = 0;
return v86 & 1;
}
}
}
分析完后发现WMCTF_WRITE传入的参数在ll中应当是load指令的结果,同时这个参数得是个全局变量
ll文件中应当长这样
@cmd = dso_local global i32 34952, align 4

%1 = load i32, i32* @cmd, align 4
call void @WMCTF_WRITE(i32 noundef %1)
最后看WMCTF_OPEN
先过第一关
CalledFunction = (llvm::Value *)llvm::CallBase::getCalledFunction(v76);
Name = llvm::Value::getName(CalledFunction);
v75 = v3;
llvm::StringRef::StringRef((llvm::StringRef *)v73, “WMCTF_OPEN”);
if ( (llvm::operator==(Name, v75, v73[0], v73[1]) & 1) != 0 )
{
//获取函数的0个参数,判断是否是LoadInst类型
Operand = llvm::CallBase::getOperand(v76, 0);
if ( (llvm::isa(&Operand) & 1) == 0 )
{
v4 = llvm::errs((llvm )&Operand);
llvm::raw_ostream::operator<<(v4, “parameter error: first operand is not a LoadInst\n”);
v86 = 0;
return v86 & 1;
}
//也是获取函数的第0个参数,但是和上面类似有点不同,笔者这里不懂,但是只要保证WMCTF_OPEN的参数是load类型就行
v5 = (llvm )llvm::CallBase::getOperand(v76, 0);
v71 = (llvm::UnaryInstruction )llvm::dyn_cast(v5);
if ( !v71 )
{
v6 = llvm::errs(v5);
llvm::raw_ostream::operator<<(v6, “parameter error: filename is not a LoadInst\n”);
v86 = 0;
return v86 & 1;
}
//获取LoadInst的第0个参数
v70 = (llvm::Value )llvm::UnaryInstruction::getOperand(v71, 0);
//获取参数的名字
/
这里打个比方
%3 = load i8, i8 @filename, align 8
v70 = (llvm::Value *)llvm::UnaryInstruction::getOperand(v71, 0);就相当于获取和@filename有关的东西
那么llvm::Value::getName(v70);就是或者上述内容的名字,也就是filename
在exp.c中这就是char *filename = “./flag”;但是我们知道变量的命名不能带. 所以这里我们只能自己手动改ll文件
*/
v69[0] = llvm::Value::getName(v70);
v69[1] = v7;
llvm::StringRef::StringRef((llvm::StringRef *)v68, “.addr”);
if ( (llvm::StringRef::contains(v69, v68[0], v68[1]) & 1) == 0 )
{
v8 = llvm::errs((llvm *)v69);
llvm::raw_ostream::operator<<(v8, “parameter error: filepath does not contain .addr\n”);
v86 = 0;
return v86 & 1;
}
}
再过第二关,可以看到这个open实际上就是根据v66这个字符串的值来open,因此这个WMCTF::getFunctionCallValue[abi:cxx11]将是我们分析的重点
anonymous namespace::WMCTF::getFunctionCallValue[abi:cxx11]((llvm *)v66, (__int64)this, Parent, v84, 0);
if ( (std::string::empty(v66) & 1) != 0 )
{
v9 = llvm::errs((llvm *)v66);
llvm::raw_ostream::operator<<(v9, “function error: could not retrieve function call value\n”);
v86 = 0;
v65 = 1;
}
else
{
Context = llvm::Module::getContext(Parent);
llvm::StringRef::StringRef(v63, v66);
v10 = v63[0];
String = (llvm::Value *)llvm::ConstantDataArray::getString(Context, v63[0], v63[1], 0LL);
v41 = llvm::GlobalVariable::operator new((llvm::GlobalVariable *)&qword_58, v10);
v38 = Parent;
Type = llvm::Value::getType(String);
v40 = String;
v11 = rand();
std::to_string((std::__cxx11 *)v59, v11);
std::operator+(v60, “string_constant”, v59);
llvm::Twine::Twine(v61, v60);
llvm::Optional::Optional(&v58, 1LL);
llvm::GlobalVariable::GlobalVariable(v41, v38, Type, 1LL, 8LL, v40, v61, 0LL, 0, v58, 0);
std::string::~string(v60);
std::string::~string(v59);
v62 = v41;
v12 = llvm::Module::getContext(Parent);
Int8PtrTy = llvm::Type::getInt8PtrTy(v12, 0LL);
BitCast = (llvm::Value *)llvm::ConstantExpr::getBitCast(v41, Int8PtrTy, 0LL);
llvm::CallBase::setArgOperand(v76, 0, BitCast);
v14 = (char *)std::string::c_str(v66);
fd = open(v14, 0);
if ( (fd & 0x80000000) == 0 )
{
v18 = llvm::errs((llvm *)v14);
llvm::raw_ostream::operator&

最低0.47元/天 解锁文章
LLVM中编写pass的详细教程(1)
白马负金羁
11-25 1万+
LLVM的Pass框架是LLVM系统的一个很重要的部分。LLVM的优化和转换工作就是由很多个Pass来一起完成的。类似流水线操作一样,每个pass完成特定的优化工作。 要想真正发挥LLVM的威力,掌握pass是不可或缺的一环。LLVM中Pass架构的可重用性和可控制性都非常好,这允许我们嵌入自己开发的pass或者关闭一些默认提供的pass
源码解读---mem2reg源码(1)
木子李的博客
08-01 4156
本文只是个随笔,记录一下看源码的思维过程,免得忘了。可能有很多废话,hhhh 相信对于熟悉LLVM的SSA以及了解支配概念的读者来说,应该都不陌生了,这个pass无非就是将LLVM最“原汁原味”的IR转化为SSA形式的IR。首先从形式上,就简明了不少,另外,SSA形式还有特殊的用处。 如果你还不太了解SSA的话,不妨上网搜搜,先大概了解下SSA的好处。 这篇文章不打算谈SSA的好处,也不会从头开始谈SSA在LLVM是如何建立的。网上有很多关于LLVM中mem2reg是如何建立SSA的。包括知乎的R大,还有“
LLVM实战之将.ll文件转换成bitcode文件
panpan_jiang1的博客
02-05 844
本文将介绍如何从LLVM 的.ll文件来生成bitcode。LLVM bitcode(也称为字节码——bytecode)由两部分组成:位流(bitstream,可类比字节流),以及将LLVM IR编码成位流的编码格式。同样,这一步骤的前提是安装llvm-as工具,并添加到PATH环境变量中。
LLVM】基本文件格式和 CFG 生成指令
weixin_45651194的博客
03-08 1392
指令将字节码转为汇编代码,llc 是 llvm 的后端,所谓后端指的是与某种指令集相关的部分,如 ARM、x86 等。clang 是 llvm前端,若我们需要得到 llvm 字节码,之后再对字节码做一些操作,可以用。一般 C 语言编译器( gcc 或 clang )执行后直接将源码。这种方式产生的 dot 文件在 /tmp/…这种方式产生的 dot 文件在当前目录下,但为隐藏文件,需要。以上方式产生的都是内部 CFG(intra CFG)。若需要将字节码转为文本,使用。变为可执行二进制文件
LLVM学习日志1 ——LLVM的下载与安装
tristan_tian的博客
08-10 5378
不得不写一个系列,因为手中的工作要围绕着LLVM展开。具体介绍可以去官网查看。我之前有过一点点接触,但是放弃了。这次重新拾起,写这个系列,是一个总结,也是激励自己一直学下去。先定个小目标,给已有的指令集增加一条指令(比如arm,arm64,x86什么的)!! 首先是安装llvm,我使用的是ubuntu,所以选择命令行下载,当然也可以在官网下载。 命令行下载主体: svn co http:/...
LLVM 学习(一) -初识LLVM
Sizaif's 小屋
04-20 1766
LLVM 学习(一) -初识LLVM @2022-04-16 10:09:06 @sizaif LLVM安装&环境搭建 官网下载预编译的二进制文件 修改环境变量指向 export PATH="$PATH:/usr/local/clang+llvm/bin" 检查使用 root@0187031113b5:/home/workhome# env | grep PATH PATH=/usr/local/clang+llvm/bin:/root/.cargo/bin:/usr/local/sbin
llvm 文件后缀转换
章鱼烧的博客
08-22 615
llvm 文件后缀意义和转换方式
LLVM学习笔记 - 基本流程
yokan_de_s的博客
03-20 766
LLVM是模块化,可重用的编译器以及工具链技术的集合,并且LLVM就是全称并不是简称,所以说LLVM是一种编译器显然是不够准确的,她至少可以代表两个,1.LLVM编译架构 2.LLVM编译器后端 基本的编译器架构前面昨天有写过就不赘述了 在LLVM架构里面优化器是恒定不变的,需要支持新的内核,比如现在是arm x86再多一个内核,就需要调整LLVM架构的后端部分,如果再多一个编程语言则只需要对应的编译器转成LLVM IR也就是LLVM能用的中间代码即可 Clang Clang属于LLVM架构的..
【性能分析大师】:LLVM性能测试与评估的有效方法
本文首先介绍LLVM性能测试的基础知识,随后探讨了各种性能测试工具的选择与应用,并深入分析了如何解读测试结果。通过案例分析,文章详细说明了如何在应用层和系统级上进行性能评估,并指出性能瓶颈。进一步地,本文...
Linux ll 文件详解
qq_31304765的博客
07-20 1055
Linux命令
FHHHC的博客
05-04 463
ls显示不隐藏的文件文件夹ls -a显示当前目录下的所有文件文件夹包括隐藏的.和..等ls -l显示不隐藏的文件文件夹的详细信息ls -1单列输出显示ls -lllls -al显示当前目录下的所有文件文件夹包括隐藏的.和..等的详细信息查看文件修改时间查看文件修改时间(精确到秒)ls -lht查看当前目录下的文件和子目录(仅创建子目录的大小)的大小查看具体某个文件的大小。
[Linux命令] ll,来来,给你看点东西
Aran_的博客
06-20 567
看好了啊,是 ll,不是ii。 ll其实并不是Linux下的一个基本命令,它实际上是 ls -l 的一个别名(alias) 也就是说: 输出的内容,咋一看,或许有点蒙,我们一起百度一下: 我们从左到右逐个学习: 一、文件属性 文件属性就是文件的操作权限和类型信息,其中一共有20位,其中“-”为占位符,而: 第一位为文件属性标识,如果输出为 ’d‘,则表示为一个目录,否则为一个文件 后面的依次九尾,每三位又分为一组,每一组分别对应着读(r-read)、写(w-write)、执行(xv),第一组设置
Linux “ll“ 命令详解
qq_43842093的博客
10-10 1428
ls -l” “ls -al” ll 用来查询当前目录下文件及目录的详情。
LLVM中的lli.exe和llc.exe文件
最新发布
huzhifei的专栏
03-10 181
下载的安装包LLVM,在安装完成后。没有lli.exe和llc.exe等文件。需要下载源码,编译后有lli.exe ,llc.exe 文件了。
LLVM IR 理解
吴建明wujianming_110117
06-26 1230
LLVM IR 理解 LLVM IR表示 LLVM IR有三个不同的形式: 内存中编译中间语言(IR) 保存在硬盘上的 bitcode(.bc 文件,适合快速被一个 JIT 编译器加载) 一个可读性的汇编语言表示(.ll 文件)。 LLVM为高效编译转换和分析,提供一个强大的中间表示。LLVM 的三种不同的形式都是等价的。以下是三种表示的转化方式。 LLVM 语言在轻量、底层、同时富有表现力,类型化,易于扩展。LLVM IR 语言目标是成为一种"通用中间语言",通过足够低层次,使高级语言可以清晰的映射。通
Linux基础篇之文件权限问题讲解
m0_64770095的博客
07-25 2360
linux下的文件权限总结
Emscripten实现把C/C++文件转成wasm,wast(wasm的可读形式),llvm字节码(bc格式),ll格式(llvm字节码的可读形式)并执行wasm
kojhliang的专栏
10-08 4273
《一》˙转换 Emscripten实现把C/C++文件转成wasm,wast(wasm的可读形式),llvm字节码(bc格式),ll格式(llvm字节码的可读形式)的步骤: 最新版本的Emscripten(1.38.12)已经能实现把c/c++转成wasm文件,例子; (1)源文件:extern.cc  如果不加extern “c”{}则转出的wasm文件对应的wast文件只有module这...
linux ll 文件属性,Linux文件时间
weixin_39915308的博客
04-28 837
通过stat命令可知,Linux文件和目录有3个时间属性,它们分别是:Access: 最后一次访问的时间Modify: 最后一次修改文件内容的时间Change: 最后一次修改文件属性(权限、大小、拥有者、内容)的时间验证步骤:1、新建一个新文件(> time)2、查看文件属性 (stat time || grep time)Access: 2017-09-26 19:28:01.441...
Linux文件列表查询ll和ls区别
weixin_30617695的博客
05-05 204
ll ll查询文件列表,查询结果为当前目录下文件文件夹的详细信息,包括权限、根目录、用户、创建时间等。 ls ls查询出的查询结果只显示当前目录下文件夹和文件名称 转载于:https://www.cnblogs.com/it-mh/p/10812929.html...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值