0x1 手动代码插桩以及编译成中间码
在编译好 KLEE 后,可以通过测试一些简单的程序来入手 KLEE 的使用。假如有如下的代码:
int get_sign(int x) {
if (x == 0)
return 0;
if (x < 0)
return -1;
else
return 1;
}
KLEE 是在源代码中对需要符号化的变量进行源代码级别的插桩来进行变量符号化的,通过 klee.h 头文件中声明的 klee_make_symbolic 函数(该函数只有声明没有定义,在 KLEE 中通过 intrinsic function 的方式来实现其语义)来将变量符号化。为了测试上面的 get_sign 函数,需要将变量 x 标记为符号化变量,通过构造一个 main 函数调用 get_sign 函数,同时在 main 函数中传递给 get_sign 一个符号化的实参,即可完成代码的构造。main 函数构造如下:
int main() {
int a;
klee_make_symbolic(&a, sizeof(a), "a");
return get_sign(a);
}
整个源代码已经编写好在目录 source_to_klee/example/get_sign 中的 get_sign.c 文件中。KLEE 虽然插桩是源代码级别的,但是符号执行的分析过程是在 LLVM IR 层级上完成的。所以,首先需要将源代码编译成 LLVM IR 的二进制格式,即 .bc 文件。编译命令如下:
clang-9 -I ../../include -emit-llvm -c -g -O0 -Xclang -disable-O0-optnone -fno-discard-value-names get_sign.c
-I …/…/include 选项是为了找到 klee/klee.h 头文件的包含目录。
-g 选项是让 clang 在编译时保留调试信息。
-O0 -Xclang -disable-O0-optnone 选项是为了保证 Klee 可以优化生成的中间码。
-fno-discard-value-names 选项是为了在生成文本 IR 时部分变量的分配保留源代码中的命名方式,使得其更易于阅读。
0x2 运行 KLEE
在运行如上编译命令后,会在当前目录下生成 get_sign.bc 文件,该文件作为 KLEE 的输入。同时为了打印出符号执行时所解释的指令的信息,可以通过在运行配置中加入如下选项:
--debug-print-instructions=all:stderr /home/nino/klee_env/klee-2.2/examples/get_sign/get_sign.bc
运行 KLEE ,可以在控制台看到如下输出:
中间在分析每条指令的之前都会将指令相关的一些信息打印出来。在分析结束后,打印出三条黄色的语句,通过这些信息我们可以知道 KLEE 分析总共 33 条指令,在 get_sign 函数中有三条路径,且每条路径 KLEE 都生成了一个测试用例。对于一些大型程序来说,KLEE 可能不能完成每一条路径的探索,这主要是受制于时间上限和内存大小的约束。在这种情况下,KLEE 同时还会给出这些未探索完即被中断的路径数量。同时,每一次执行 KLEE 还会在当前目录下生成一个 klee-out-N 目录,这个目录记录了第 N 次执行的所有信息。比如上述的第 0 次执行,我们可以查看其目录下的内容:
其中 assembly.ll 文件中是 LLVM IR 可读格式文件。
info 中记录了本次分析的一些基本信息,包括分析开始时间,搜索策略等等。
三个 .ktest 后缀文件则是生成的测试用例信息。
0x3 查看生成的测试用例
以 .ktest 为后缀的文件则是生成的测试用例数据,这是一种二进制文件,所以不可以直接查看其内容。通过 KLEE 提供的 ktest-tool 工具可以查看其内容如下:
可以发现,对于每一条测试用例,KLEE 报告出了调用程序时使用的参数(在上述例子中,只使用自己本身),符号化对象的数量,符号化对象的名称以及符号化对象的值。其中符号化对象的值给出了几种的格式,注意其 data 格式的数据,是低位在左,高位在右。
0x4 运行生成的测试用例
尽管可以通过手动修改源代码的方式来跑我们的测试用例(这样也太麻烦了!),KLEE 仍然提供了一个重现库,让我们可以自动的来跑生成的测试用例。为了使用它,只需要在编译我们的源代码的时候链接上共享库 libkleeRuntest,然后指定环境变量 KTEST_FILE 指向到相应的 .ktest 测试用例即可。操作如下:
3336
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
