angr源码分析——CFGFast 快速构建控制流图

最新推荐文章于 2024-02-27 20:39:06 发布
最新推荐文章于 2024-02-27 20:39:06 发布
阅读量3.7k 收藏 2
点赞数 3
分类专栏: 漏洞挖掘 物联网
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/doudoudouzoule/article/details/80647689
版权
本文分析了angr库中用于快速构建控制流图(CFG)的CFGFast方法。与CFGAccurate不同,CFGFast不依赖于模拟执行,而是采用启发式方法和轻量级分析。它通过主动和被动扫描识别函数,适用于全面分析二进制文件。CFGFast的参数详细解释了其工作原理,包括符号、函数序言扫描、间接跳转解析等功能。通过对 ForwardAnalysis 和 CFGBase 的初始化及参数配置,逐步构建控制流图。
摘要由CSDN通过智能技术生成

有时我们需要对一个二进制文件做一个全面的分析,然而使用CFGAccurate一般都需要提供一个start_state作为起始的状态点进行分析,这就导致分析并不全面。为了获得一个高代码覆盖率的CFG,我们可以使用CFGFast。下面分析一下CFGFast的源码,了解其恢复原理,然后进行自己的改进吧。

CFGFast在给定的二进制文件中识别函数,并以非常快的方式构建一个控制流图:与CFGAccurate不同,它不依赖于模拟程序执行,跟踪状态,执行等昂贵的数据流分析,CFGFast将只执行轻量分析和一些启发式,并有一些强烈的假设。为了识别尽可能多的函数,CFGFast执行如下操作:
1.Active scanning
如果二进制有“function symbols”,那么它们将是代码扫描的起始点。
如果二进制没有任何“function symbol”,CFGFast将首先对整个二进制执行一个函数序言扫描,并以这些看起来像函数起始地址的位置开始。
否则,就以二进制的入口点开始进行扫描。
2.Passive scanning
在所有的主动扫描结束后,CFGFast将会执行一个整体的image扫描,扫描所有的代码片段。

由于在这里使用的这些技术的性质,通常不需要一个基本地址来使用这种分析例程。然而,使用正确的基址,CFG的恢复几乎总是会产生更好的结果。一种称为“GirlScout”的自定义分析是专门用来恢复二进制块的基本地址的(原来有可以自动回复基址的技术咯)。在确定基本地址之后,你可能想要通过创建一个新的Project对象来重新加载二进制文件,然后重新恢复CFG。

CFGFast的参数说明
        :param binary:恢复CFG的二进制文件。默认情况下使用主二进制文件。
      :param iterable regions:描述内存的(开始地址,结束地址)形式的元组列表,CFG应涵盖的区域。
        :param bool pickle_intermediate_results:如果我们想要存储中间结果。(哦,可以存放中间结果,这个中间结果包括什么?以什么方式存储的呢?)
      :param bool symbols:从二进制文件中的符号开始获取函数。
        :param bool function_prologues:扫描函数序言的二进制文件,并将这些位置用作函数开始
        :param bool resolve_indirect_jumps:尝试解决间接跳转。这是解决跳转目标所必需的跳转表等
        :param bool force_segment:强制CFGFast依赖二进制段而不是段。
      :param bool force_complete_scan:对二进制文件执行完整扫描并最大化识别的数量代码块。
        :param bool collect_data_references:CFGFast是否应该收集来自单个基本块的数据引用。
        :param bool extra_cross_references:如果我们应该收集程序中所有地方的数据引用,则为true即访问每个内存数据项,这需要更多的内存,并且是明显较慢。将它设置为False意味着每个存储器数据条目都有最多一个参考(这是最初的一个参考)。
        :param bool normalize:规范CFG以及CFG恢复后的所有函数图。
        :param bool start_at_entry:在此项目的入口点开始CFG恢复。将其设置为False避免CFGFast查看入口点作为其中一个起点代码扫描。
        :param list function_starts:额外功能起点的列表。 CFGFast将尝试恢复扫描来自列表中的每个地址。
        :param list extra_memory_regions:显示额外内存的2元组列表(起始地址,结束地址)区域。内部的整数将被视为指针。
        :param list indirect_jump_resolvers:间接跳转解析器的自定义列表。如果此列表是无或空的,特定于此体系结构和二进制的缺省间接跳转解析器类型将被加载。
        :param base_state:用作所有内存负载的支持者的状态
        :param int start :(已弃用)CFG恢复的起始地址。
        :param int end :(已弃用)CFG恢复的结束地址。
        :param CFGArchOptions arch_options:体系结构特定的选项。
        :param dict extra_arch_options:kwargs中的任何键值对都将被视为架构特定选项,并且将用于在self._arch_options中设置选项值。
        angr.Analysis需要的额外参数:
        :param progress_callback:指定回调函数以获取CFG恢复期间的进度。
        :param bool show_progressbar:CFGFast是否应该在CFG恢复期间显示进度条。

        :返回:无

下面分析CFGFast的恢复流程吧!

首先初始化ForwardAnalysis和CFGBase。
我们知道CFGAccurate与CFGFast都是继承的它们。
然后初始化各个参数。
首先是regions,它

最低0.47元/天 解锁文章
FunctionY
关注
专栏目录
python 切入点(EntryPoints)使用
weixin_45228198的博客
07-06 272
python开发;插件开发;
angr符号执行用例解析——0ctf_trace
doudoudouzoule的博客
03-14 1993
在这个用例中,给出了一个带有程序执行的trace的text文件。这个文件有两列,地址和执行指令。所以我们知道所有的执行的指令和分支,但是我们不知道初始数据。通过逆向,我们发现在栈上有一段缓冲区最先由已知字符串常量初始化的,然后一个未知的字符串被添加到后面(也就是flag),最终由相同的快速排序转化进行了排序。因此我们需要以某种方式找到这个flag。使用angr很容易处理这个问题,我们只需要在每次分...
Python angr 符号执行生成 C 语言 Control-flow Graph (CFG)
Aiden的笔记本
02-27 486
利用Python中的angr库进行符号执行,生成 C 语言 Control-flow Graph (CFG)的方法
Angr源码分析——CFGFast._pre_analysis()
zhuzhuzhu22的博客
06-14 925
本博客由闲散白帽子胖胖鹏鹏胖胖鹏潜力所写,仅仅作为个人技术交流分享,不得用做商业用途。转载请注明出处,未经许可禁止将本博客内所有内容转载、商用。            最近分析的时候要去修复CFG,那就免不了要去看CFGFast源码(有人写过了这个解析),那么从官方的解释来看呢,CFGFast采用静态分析的方法,简单来讲就是用程序序言,也就是程序开头的固定字符串匹配比如(push {xxx} /...
利用angr获取CFG
sp5627896的博客
10-16 3007
静态二进制分析中,对于程序控制流图CFG的计算是很基础且重要的一步,很多的分析是要建立在CFG的基础上。angr作为二进制分析工具,当然提供了CFG功能,下面我们就来探索下要如何使用angr计算CFG,以及其中的坑。 angr中的CFG分为2种:CFGFastCFGAccurate。两者的区别在于前者计算的东西更少,从而也就更快。一般情况下CFGFast就够了,但在研究中若要依靠CFG进一步分析...
图解angr中两种CFG的区别
^_^
08-16 1099
angr里提供两种CFG的生成,一种是CFGFast,一种是CFGEmulated。这两种究竟有什么不同呢? 本文主要是用图来说明下这个问题。可能回答的不是很完整。 CFGFast这种CFG生成的比较快,但是没有考虑上下文关系。比如函数A调用了printf函数,函数B也调用了printf函数。就会变成下图的形式。 而CFGEmulated这种CFG则是考虑了上下文关系,上面的例子在CFGEmulated里就会变成下图的样子。 现在来实际看看angr生成的控制流图是什么样子的。针对以下C程序,我们来画CF
控制流图(Control Flow Graph)-(CFG
热门推荐
阿航的博客
04-21 4万+
1.定义 百度百科: 控制流图(Control Flow Graph, CFG)也叫控制流程图,是一个过程或程序的抽象表现,是用在编译器中的一个抽象数据结构,由编译器在内部维护,代表了一个程序执行过程中会遍历到的所有路径。它用图的形式表示一个过程内所有基本块执行的可能流向, 也能反映一个过程的实时执行过程。 Frances E. Allen于1970年提出控制流图的概念。此后,控制流图成为了编译器优化和静态分析的重要工具。 维基百科: 原文: In a control-flo..
angr源码分析——DFG 数据流图
doudoudouzoule的博客
05-21 4668
这篇文章主要讲述,angr中数据流图(Data Flow Gragh)的构建。DFG恢复的是CFG中每个基本块的数据流!DFG为CFG的每个基本块构建一个数据流图(DFG)DFG可以通过字典self.dfgs获得,其中key的值为基本块的地址,或DFG中的值。param CFG:用于获得所有基本块的CFGparam annocfg:一个由向后片构建的注释cfg,用于在白名单上构建DFG。构造函数:...
angr源码分析——库函数识别identify
doudoudouzoule的博客
08-09 2904
在识别代码的同源性时,多数情况下采用的方法是依赖于代码本身的数据特征例如Flirt技术的前32位字节码,函数crc;diaphora的fuzzing hash等。而在二进制代码中,不同的编译环境或库版本都会对最终生成的库函数的代码带来巨大的变化,导致依赖于数据特征的库函数识别技术识别率极低,或者干脆无用。那么此时为了识别一个函数我们需要依赖的就是函数的语义。 函数语义代表这个函数做了什么,而不是...
angr源码分析——BackwardSlice
doudoudouzoule的博客
05-10 2638
BackwardSlice 程序反向切片,从给出的某一个目标点,获取所有到达该目标点的路径。angr的这个功能似乎并不完善,里面可以自己进行定制。在进行程序切片前,我们需要提供一个控制流图CFG。此外,为了确定程序反向的起始点,还需要提供一个target。下面是angr文档中给出的一个例子:>>> import angr # Load the project >>&g...
angr源码分析——数据依赖图 DDG
doudoudouzoule的博客
06-13 3245
由于官方文档中关于数据依赖图(DDG)的说明少之又少,所以这是一篇对angr构造数据依赖图由浅入深的分析博客。下面就开始吧。DDG的使用案例:#先加载一个二进制文件,选择符号分析模式 proj = angr.Project(binary_path,load_options={'auto_load_libs': False},default_analysis_mode='symbolic') #利用...
软工——各种图
SansaHome的博客
11-13 7902
angr源码分析——CFGAccurate and Function Manager
doudoudouzoule的博客
05-06 3074
angr控制流图恢复可以分为两种,一种是CFGAccurate,一种是CFGFast。关于它们的介绍,在我以前的一篇《自动化二进制分析技术》中有所提及,为了方便代码的理解,我把这部分内容再次放在本文的后面了。所以,如果你对控制流恢复一窍不通的话,可以跳到最后 控制流图恢复 部分先了解理论。angr通过执行每一个基本块并观察基本块的执行流向来构造CFG。然而,在不同的上下文中基本块的流向将不同。如...
自动化二进制分析技术 (State of) The Art of War: Offensive Techniques in Binary Analysis
doudoudouzoule的博客
03-09 5890
本篇文章翻译自:(State of) The Art of War: Offensive Techniques in Binary Analysis论文下载链接:http://www.cs.ucsb.edu/~chris/research/doc/oakland16_sokbin.pdf文章主要讲解的是常见的二进制分析技术,作者对各类技术进行了实现与评估,开发了angr二进制检测框架。里面对各类技...
逆向工具angr的快捷教程(1):安装、排雷、CFG范例
白马负金羁
05-26 1万+
Angr是一个基于Python开发的二进制程序分析(Binary analysis)框架,可以用于开展动态符号执行(Symbolic Execution)和多种静态分析。作为系列文章的第一篇,本文将介绍安装angr的基本步骤,尤其是其中可能遇到的各种坑。然后,我们会利用angr对程序进行静态分析,生成相应的CFG,并以此演示angr的基本用法
angr使用2
九层台
12-17 971
angr就是一个工具提供了对一个程序某一段代码的测试功能,在ctf中一般其实就是用来爆破。 之前一个示例演示了基本的运行,接下来呢看一下如果程序不从头开始,设置运行环境。 上面是个base64解密,下面是另一个加密,前面的没必要测试,看后面的。 看汇编代码 原始数据的赋值是R0决定的(也就是用R0来传参的) #coding=utf-8 import angr import claripy i...
angr原理与实践(二)—— 各类图的生成(CFG CG ACFG DDG等)
qq_40229814的博客
09-07 5632
使用angr制作程序分析必备的分析图,以供漏洞检测等网络安全研究应用
angr分析程序的控制流图CFG
^_^
10-12 4764
angr分析程序的CFG 概述 在二进制上实现基本的分析一般是通过控制流图。一个CFG是一个基本块为节点,jump/ret/call为边的图。 在angr里,主要有两种CFG,一种是静态的CFGCFGFast)和动态的CFGCFGEmulated) CFGFast使用静态分析来产生CFG。生成的速度很快,但是理论上有些控制流的转换只在执行的时候确定。这个和其他逆向工具差不多,结果也匹配输出。 CFGEmulated使用符号执行来去获取CFG。理论上更精准,但是比较慢。目前还不是完整的,因为模拟执行时的准
python angr
最新发布
08-25
Angr是一个开源的、用于动态分析的Python库,主要用于二进制文件的逆向工程和软件安全研究。它构建在PyClaripy和SimuVex之上,提供了一个高级的API来创建模拟器环境,支持函数级调试、内存分析、漏洞挖掘以及系统级别的交互。用户可以利用angr对程序的行为进行细致的观察,并且能够自动发现和理解复杂的控制流结构。它的核心组件包括状态机(State)、指令跟踪(Tracer)和插桩机制等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值