angr源码分析——cle.Loader类

最新推荐文章于 2022-09-02 18:12:51 发布
最新推荐文章于 2022-09-02 18:12:51 发布
阅读量2.4k 收藏 5
点赞数
分类专栏: 物联网 漏洞挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/doudoudouzoule/article/details/79354436
版权
上篇文章分析angr.Project类时说到,angr工具第一步就是将二进制文件加载到cle.loader类里。(CLE means Loading Everything)。loader类加载所有的对象并导出一个进程内存的抽象。生成该程序已加载和准备运行的地址空间。构造函数参数:cle.loader.Loader(main_binary, auto_load_libs=True, force_lo...
摘要由CSDN通过智能技术生成

上篇文章分析angr.Project类时说到,angr工具第一步就是将二进制文件加载到cle.loader类里。(CLE means Loading Everything)。loader类加载所有的对象并导出一个进程内存的抽象。生成该程序已加载和准备运行的地址空间。

构造函数参数:

cle.loader.Loader(main_binary, auto_load_libs=True, force_load_libs=(), skip_libs=(), main_opts=None, lib_opts=None, custom_ld_path=(), use_system_libs=True, ignore_import_version_numbers=True, case_insensitive=False, rebase_granularity=16777216, except_missing_libs=False, aslr=False, page_size=1, extern_size=32768)

    :param main_binary:         要加载主要二进制文件的路径,或者一个带有二进制文件的对象。
    以下参数是可选的.
    :param auto_load_libs:      是否自动加载已加载对象所依赖的共享库.
    :param force_load_libs:     无论加载对象是否需要,都加载的库列表.
    :param skip_libs:           即使加载对象需要也不会加载的库列表.
    :param main_opts:           一个字典,加载主二进制文件的选项.
    :param lib_opts:            一个字典,将库名称映射到加载它们时要使用的选项字典.
    :param custom_ld_path:      用于搜索共享库的路径列表.
    :param use_system_libs:     是否搜索所请求库的系统加载路径,默认为true.
    :param ignore_import_version_numbers: 文件名中具有不同版本号的库是否被认为是等效的,例如libc.so.6和libc.so.0。
    :param case_insensitive:    如果将其设置为True,则无论底层文件系统的区分大小写如何,文件系统加载都将以不区分大小写的方式进行。
    :param rebase_granularity:  用于重新分配共享对象的对齐方式。
    :param except_missing_libs: 当找不到共享库时抛出异常.
    :param aslr:                在符号地址空间中加载库。 不要使用这个选项(???)。
    :param page_size:           数据映射到内存的粒度。 如果您在非分页环境中工作,请将其设置为1。
一些变量解释:
    :ivar memory:               程序加载,重定位的内存。
    :vartype memory:            类型为cle.memory.Clemory类
    :ivar main_object:          代表了主要的二进制文件对象
    :ivar shared_objects:       一个字典,映射了名名称和它们代表的对象.
    :ivar all_objects:             一个列表,代表了所有被加载的不同对象.
    :ivar requested_names:      一个集合,包含了所有没标记为某个部分的依赖的不同的共享库.
    :ivar initial_load_objects:   一个列表,代表所有初始加载请求结果的所有对象.
当引用字典选项时,它需要一个包含零个或多个以下key的字典:
     - backend(后端):“elf”,“pe”,“mach-o”,“ida”,“blob”:后端使用的加载器
     - custom_arch:用于二进制文件的archinfo.Arch对象
     - custom_base_addr:重新绑定对象的地址

     - custom_entry_point:用于对象的入口点

更多的key在每个后端的基础上定义。

执行流程:

第一步:参数初始化。在构造函数中,主要就是初始化各个参数,这部分在后面有些参数需要格外关注时可以再仔细分析。

第二步:加载对象初始化。构造函数的最后一行代码为

self.initial_load_objects = self._internal_load(main_binary, *force_load_libs)

这里调用了函数_internal_load(),跟进去看对象初始化的逻辑。

这个函数的参数为传入要加载的文件或库。如果由于任何原因无法加载其中的任何一个,则会退出。

它将返回一个成功加载的所有对象的列表,如果其中它们任何被加载过,那么返回的列表会比你提供的列表小。

下面这段函数看一下:

for main_spec in args:
            if self.find_object(main_spec, extra_objects=objects) is not None:
                l.info("Skipping load request %s - already loaded", main_spec)
                continue
            l.info("loading %s...", main_spec)
            main_obj = self._load_object_isolated(main_spec)
            objects.append(main_obj)
            dependencies.extend(main_obj.deps)

            if self.main_object is None:
                self.main_object = main_obj
                self.memory = Clemory(self.main_object.arch, root=True)

main_spec 就是传入的二进制文件或库。循环中,先判断的是这个对象是否加载过,若加载过则不再加载。加载一个文件时调用的函数为 _load_object_isolated()。这个函数给定一个依赖的部分说明,它将会把加载对象作为一个后端实例返回。它不会触及任何加载器全局数据。再跟进这个函数看下。

# STEP 1: identify file
        if isinstance(spec, Backend):
            return spec
        elif hasattr(spec, 'read') and hasattr(spec, 'seek'):
            full_spec = spec
        elif type(spec) in (bytes, unicode):
            full_spec = self._search_load_path(spec) # this is allowed to cheat and do partial static loading
            l.debug("... using full path %s", full_spec)
        else:
            raise CLEError("Bad library specification: %s" % spec)

        # STEP 2: collect options
        if self.main_object is None:
            options = self._main_opts
        else:
            for ident in self._possible_idents(full_spec): # also allowed to cheat
                if ident in self._lib_opts:
                    options = self._lib_opts[ident]
                    break
            else:
                options = {}

        # STEP 3: identify backend
        backend_spec = options.pop('backend', None)
        backend_cls = self._backend_resolver(backend_spec)
        if backend_cls is None:
            backend_cls = self._static_backend(full_spec)
        if backend_cls is None:
            raise CLECompatibilityError("Unable to find a loader backend for %s.  Perhaps try the 'blob' loader?" % spec)

        # STEP 4: LOAD!
        l.debug("... loading with %s", backend_cls)
        return backend_cls(full_spec, is_main_bin=self.main_object is None, loader=self, **options) #它就是main_oject 调用的是backend的init函数
第一步:识别文件。确认这是一个二进制文件,并调用_search_load_path()函数获取一个完整的文件路径。这部分是允许欺骗并做部分静态加载的。
第二步:收集选项options。在这一步,调用了_possible_idents()函数,对刚刚获得full_spec进行识别,它遍历所有可能用于描述给定spec的识别符。

第三步:识别后端。首先从options中获取backend,并初始化一个backend_cls变量,如果该变量为空,则调用_static_backend()函数获取backend_cls实例。

也就是说,真正对二进制文件识别的函数为_static_backend(),再次跟进看其逻辑。

 def _static_backend(self, spec):
        """
        Returns the correct loader for the file at `spec`.
        Returns None if it's a blob or some unknown type.
        TODO: Implement some binwalk-like thing to carve up blobs automatically
        """

        try:
            return self._backend_resolver(self._lib_opts[spec]['backend'])
        except KeyError:
            pass

        with stream_or_path(spec) as stream:
            for rear in ALL_BACKENDS.values():
                if rear.is_default and rear.is_compatible(stream):
                    return rear

        return None

该函数根据spec返回二进制文件的正确加载器。如果是blob或者其他未知类型则返回none。其中代码中允许我们实现能够识别和分割blob类型二进制文件的代码。(这个重点哎!)

识别后端利用的是特征匹配吧,首先加载刚刚遍历提取得到的spec,然后与ALL_BACKENDS的值进行匹配,及rear变量,调用rear.is_compatible()函数。所以我们要去看一下ALL_BACKENDS都是些什么,is_compatible()函数的匹配逻辑。而且我们的目标是要解

最低0.47元/天 解锁文章
FunctionY
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
angr源码分析——angr.Project
doudoudouzoule的博客
02-19 2114
使用angr时,第一行语句就是:b = angr.Project('path/bin_file_name')该代码调用的为Project的构造函数_init_()。Projectangr模块的主,它对一个二进制文件进行初始的分析以及参数配置,并将数据存储起来进行后续进一步分析。构造函数参数:angr.project.Project(thing, default_analysis_mode=...
angr源码分析——数据依赖图 DDG
doudoudouzoule的博客
06-13 3179
由于官方文档中关于数据依赖图(DDG)的说明少之又少,所以这是一篇对angr构造数据依赖图由浅入深的分析博客。下面就开始吧。DDG的使用案例:#先加载一个二进制文件,选择符号分析模式 proj = angr.Project(binary_path,load_options={'auto_load_libs': False},default_analysis_mode='symbolic') #利用...
angr源码分析——自定义Exploration Technology
doudoudouzoule的博客
08-21 528
exploration Technology允许我们制定任何符号执行的规则,例如程序从哪里开始,到哪里结束,执行时的过滤规则,结束后的处理逻辑。 先让我们看一下父的结构,了解每一个方法的作用。 class ExplorationTechnique(object): """ An otiegnqwvk is a set of hooks for a simulation ma...
angr源码分析——Simulation Engines
doudoudouzoule的博客
03-12 1145
为什么研究这个呢?原因是在对程序进行模拟执行时,step()调用的实际上就是project.factory.successors()函数,而这个函数代码为 def successors(self, *args, **kwargs): """ Perform execution using any applicable engine. Enumerate th...
angr 一个强大平台无关的二进制分析框架-python
06-18
angr 一个强大平台无关的二进制分析框架 angr angr 是一个平台无关的二进制分析框架。 它由加州大学圣巴巴拉分校的计算机安全实验室、亚利桑那州立大学的 SEFCOM、他们相关的 CTF 团队、Shellphish、开源社区和 @rhelmot 提供给您。 什么? angr 是一套 Python 3 库,可让您加载二进制文件并对其执行许多很酷的操作: 反汇编和中间表示提升 程序检测 符号执行 控制流分析 数据依赖性分析 值集分析 (VSA) 反编译最常见的 angr 操作是加载一个二进制文件: p = angr.Project('/bin/bash') 如果你在像 IPython 这样的增强型 REPL 中这样做,你可以使用 tab-autocomplete 来浏览顶级可访问的方法和他们的文档字符串。 “如何安装 angr”的简短版本是 mkvirtualenv --python=$(which python3) angr && python -m pip install angr。 示例 angr 做了很多二进制分析的东西。 为了让您入门,这里有一
Python库 | angr-8.20.6.8.tar.gz
04-06
资源分:Python库 所属语言:Python 资源全名:angr-8.20.6.8.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | angr-4.6.1.12.tar.gz
02-28
2. **静态分析**:angr提供了多种静态分析工具,如CFG(控制流图)重建,用于理解程序的结构和控制流程,以及VEX(Virtual Execution Platform),它是LLVM项目的一个分支,用于将机器码转换为中间表示,方便进行...
Python库 | angr-9.0.7293.tar.gz
04-06
资源分:Python库 所属语言:Python 资源全名:angr-9.0.7293.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | angr-management-8.19.10.29.tar.gz
04-06
资源分:Python库 所属语言:Python 资源全名:angr-management-8.19.10.29.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
程序分析理论-angr
05-08
论文(State of)The Art of War: Offensive Techniques in Binary Analysis介绍ppt
cle:CLE加载所有内容(至少,许多二进制格式!)
05-13
CLE加载二进制文件及其关联的库,解析导入,并以与操作系统加载程序相同的方式提供进程内存的抽象。 安装 $ pip install cle 用法示例 >> > import cle >> > ld = cle . Loader ( "/bin/ls" ) >> > hex ( ld . main_object . entry ) '0x4048d0' >> > ld . shared_objects { 'ld-linux-x86-64.so.2' : < ELF> , ' libacl . so . 1 ': < ELF> , ' libattr
angr-doc:Angr套件的文档
04-29
什么是愤怒,我该如何使用它? angr是一个多体系结构的二进制分析工具包,具有对二进制文件执行动态符号执行(如Mayhem,KLEE等)和各种静态分析的功能。 如果您想学习如何使用它,那么您来对地方了! 我们试图使angr尽可能轻松地使用-我们的目标是创建一个用户友好的二进制分析套件,使用户可以简单地启动iPython并使用几个命令轻松地执行密集的二进制分析。 话虽这么说,二进制分析是复杂的,这使angr变得复杂。 本文档旨在通过提供叙述性解释和对Angr及其设计的探索来对此进行帮助。 以编程方式分析二进制文件必须克服几个挑战。 它们大致是: 将二进制文件加载到分析程序中。 将二进制文件转换为中间表示(IR)。 进行实际分析。 可能是: 部分或全部程序静态分析(即,依赖性分析,程序切片)。 对程序状态空间的象征性探索(即,“我们可以在发现溢出之前执行它吗?”)。 以上各项
Python库 | cle-9.0.9031-py3-none-any.whl
05-03
资源分:Python库 所属语言:Python 资源全名:cle-9.0.9031-py3-none-any.whl 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
论文研究-一种基于angr的Mach-O分析框架设计与实现 .pdf
08-20
一种基于angr的Mach-O分析框架设计与实现,郭景怡,郭燕慧,Mach-O二进制的运行依赖于一个运行时系统,这使得Mach-O二进制的分析与普通二进制分析有很大的出入。本文从二进制的基础分析方法CFG生
使用angr进行静态分析和符号执行
04-25
使用angr进行静态分析和符号执行
angr源码分析——Simulation Manager
doudoudouzoule的博客
03-07 1695
angr中符号执行涉及的代码比较多,前面已经介绍了符号执行中获取程序状态的factory,以及状态对象SimState涉及到的属性,方法,插件,下面将介绍关于符号执行路径探索的主要对象Simulation Manager。代码位于:angr/angr/manager.pyangr.manager.SimulationManager(project, active_states=None, sta...
angr源码分析——claripy ,factory
doudoudouzoule的博客
02-25 3359
claripy是一个符号求解引擎,大多数时候,我们只是简单使用claripy,然而当我们做一些核心的符号执行分析时,则不得不深入claripy api,了解其实现细节及处理逻辑,从而进行改进。就我目前对符号执行的理解而言,在使用符号执行解决问题时,首先要提供符号变量,然后提供求解路径,提供求解器,最终求解出结果。那么在angr中如何定义以及初始化这些参数和变量的呢?这是此次源码分析要解决的一个问题...
angr内存模拟部分源码阅读
热门推荐
Breeze的博客
09-02 1万+
主要分析angr中对于内存模拟的实现原理以及对于符号化内存地址访问的实现策略。
angr符号执行用例解析——ais3_crackme
doudoudouzoule的博客
04-09 1771
源码及二进制文件链接:https://github.com/angr/angr-doc/tree/master/examples/ais3_crackme这次的用例非常简单,也非常基础(也是唯一一个,我自己能做出来的)。执行这个二进制文件 ./ais3_crackme输出: You need to enter the secret key!看来需要参数,随便输入个123: ./ais3_crack...
angr中支持蒙特卡洛树搜索策略进行路径探索吗
最新发布
06-10
是的,angr 中支持使用蒙特卡洛树搜索(Monte Carlo Tree Search,MCTS)策略进行路径探索。具体来说,angr 提供了一个名为 MCTSExplorer 的探索技术,可以使用蒙特卡洛树搜索策略来探索程序路径。MCTSExplorer 技术会在每个基本块中执行多次符号执行,并根据执行结果动态调整探索策略,以尽可能地覆盖更多的路径。 以下是使用 MCTSExplorer 探索技术进行路径探索的示例代码: ```python import angr # 创建一个 angr 项目 proj = angr.Project('/path/to/binary') # 初始化一个初始状态 state = proj.factory.entry_state() # 初始化一个 MCTSExplorer 探索技术 mcts_explorer = angr.exploration_techniques.MCTSExplorer( num_samples=10, # 每个基本块执行的符号执行次数 num_rounds=5, # 蒙特卡洛树搜索的迭代次数 heuristic=angr.exploration_techniques.ExplorerHeuristic(), # 探索策略 ) # 开始探索 path_group = proj.factory.path_group(state, immutable=False) path_group.use_technique(mcts_explorer) path_group.run() # 输出探索结果 print("Total branches explored:", path_group.branches_explored) print("Total basic blocks explored:", path_group._stashes['deadended'].size()) ``` 在这个示例代码中,我们创建了一个 angr 项目对象以及一个初始状态对象。然后,我们初始化了一个 MCTSExplorer 探索技术,其中 num_samples 参数用于指定每个基本块执行的符号执行次数,num_rounds 参数用于指定蒙特卡洛树搜索的迭代次数,heuristic 参数用于指定探索策略。接着,我们将 MCTSExplorer 技术添加到路径组对象中,并执行路径探索。最后,我们输出了探索结果。 需要注意的是,使用蒙特卡洛树搜索策略进行路径探索可能会非常耗时,因此需要根据具体情况调整 num_samples 和 num_rounds 参数的值,以平衡探索效率和探索质量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值