KLEE学习——实例3

最新推荐文章于 2024-04-07 11:39:48 发布
最新推荐文章于 2024-04-07 11:39:48 发布
阅读量1.7k 收藏 7
点赞数 4
分类专栏: KLEE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26736193/article/details/107158166
版权

说明

  • 这个例子展示了如何使用KLEE来寻找迷宫游戏的所有解决方案,是对如何使用符号执行来生成输入的一个很好的说明。示例官网原文见:Solving a maze with KLEE
    -实例中的迷宫大小为11X7,玩家通过’w’,‘s’,‘d’,'f’操作上下左右,从X出发,要找到路径达到出口#。如图所示:
    在这里插入图片描述
    源代码在:https://pastebin.com/6wG5stht

1.首先我们尝试手动寻找答案
假设我们的代码存放在***maze.c***中,我们将其编译:

$ gcc maze.c -o maze

得到可执行文件 maze.exe,然后执行并输入路径:

ssssddddwwaawwddddssssddwwww

最终得到我们wining的结果,即我们成功的找到了迷宫出口。

2.现在我们尝试用KLEE来找我们的结果
补充:这里由于我是在docker中使用的klee,首先我需要将maze.c拷贝到我的docker下:

$ docker cp C:\Users\Lichao\Desktop\maze.c my_first_klee_container:/home/klee/klee_src/examples/maze

这里,

  • docker cp 是拷贝命令
  • C:\Users\Lichao\Desktop\maze.c 是我的拷贝源
  • my_first_klee_container:/home/klee/klee_src/examples/maze 是目的拷贝地址

和之前例子一样,首先我们要在代码中符号化输入,因此我们还要修改源代码:

read(0,program,ITERS);
修改为下面:
klee_make_symbolic(program,ITERS,"program");
并添加头文件:
#include<klee/klee/h>

然后,我们将 maze.c编译为maze.bc,并在/examples/maze下执行命令:

$ clang -c -I …/…/include -emit-llvm maze.c -o maze.bc
$ klee maze.bc

然后在控制台可以看到一系列执行的过程,并最终生成结果:

KLEE: done: total instructions = 134318
KLEE: done: completed paths = 309
KLEE: done: generated tests = 309

以及结果报告,可以看到对于309个测试用例每个都单独有一个报告:

klee@ddf2bf456634:~/klee_src/examples/maze$ ls klee-last
assembly.ll test000059.ktest test000122.ktest test000185.ktest test000248.ktest
info test000060.ktest test000123.ktest test000186.ktest test000249.ktest
messages.txt test000061.ktest test000124.ktest test000187.ktest test000250.ktest
run.istats test000062.ktest test000125.ktest test000188.ktest test000251.ktest
run.stats test000063.ktest test000126.ktest test000189.ktest …
test000001.ktest test000064.ktest test000127.ktest test000190.ktest test000309.ktest … … … … warnings.txt

我们随便打开一个查看里面的内容:

klee@ddf2bf456634:~/klee_src/examples/maze$ ktest-tool klee-last/test000309.ktest
\ktest file : ‘klee-last/test000309.ktest’
args : [‘maze.bc’]
num objects: 1
object 0: name: ‘program’
object 0: size: 28
object 0: data: b’ssssddddwwaawwddddsddsssaaww’
object 0: hex : 0x73737373646464647777616177776464646473646473737361617777
object 0: text: ssssddddwwaawwddddsddsssaaww

里面给出了执行的路径,我们可以自己将这个路径带回到迷宫中去试试到底是不是结果,能不能找到出口。但是,这么多个报告,我们不可能每一个都去打开自己尝试(不然用KLEE有什么意义?),因此我们需要KLEE能够给出我们那些路径是正确的,即能找到出口。

3.如何标记我们感兴趣的部分代码?
这里有一个类似于C语言里面的断言的函数klee_assert(),它强制条件为真,否则就会中止执行。我们可以用断言来标记我们感兴趣的部分代码,一旦KLEE执行到这个地方就会给出提醒。(更多的KLEE C接口可以在klee.h头文件里面查看:https://llvm.org/svn/llvmproject/klee/trunk/include/klee/klee.h
因此,我们可以在源代码中进行修改:

//找到代码
printf("You win!\n");
//替换为:
printf ("You win!\n");
klee_assert(0);  //Signal The solution!!

因为当我们源代码执行了printf(“You win!\n”)时表明我们找到了正确的答案,因此我们在这行代码后面添加klee_assert(0),即一个条件永远为0的断言,这样只要执行到了这里断言就会报错,这样我们就有了一个标识告诉我们找到了答案。
修改后,我们重新编译、执行:

$ clang -c -I …/…/include -emit-llvm maze.c -o maze.bc
$ klee maze.bc

最终结果和报告分别是:

KLEE: done: total instructions = 134310
KLEE: done: completed paths = 309
KLEE: done: generated tests = 306

klee@ddf2bf456634:~/klee_src/examples/maze$ ls klee-last assembly.ll
test000059.ktest test000122.ktest test000183.ktest
test000246.ktest info test000060.ktest test000123.ktest
test000184.ktest test000247.ktest messages.txt test000061.ktest
test000124.ktest test000185.ktest test000248.ktest run.istats
test000062.ktest test000125.ktest test000186.ktest
test000249.ktest run.stats test000063.ktest test000126.ktest
test000187.ktest test000250.ktest … …
… … … test000012.ktest
test000075.ktest test000138.assert.err test000199.ktest
test000262.ktest test000013.ktest test000076.ktest test000138.kquery
test000200.ktest test000263.ktest … …
… … …

可以看到,我们多出了一个.assert.err的错误报告文件,这应该就是找到了正确答案的测试用例了,我们打开看看:

klee@ddf2bf456634:~/klee_src/examples/maze/klee-last$ ktest-tool test000138.ktest
ktest file : ‘test000138.ktest’
args : [‘maze.bc’]
num objects: 1
object 0: name: ‘program’
object 0: size: 28
object 0: data: b’sddwddddsddw\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff’
object 0: hex : 0x736464776464646473646477ffffffffffffffffffffffffffffffff
object 0: text: sddwddddsddw…

得到我们的路径顺序是: sddwddddsddw,但是这个长度有点奇怪,很明显应该是到不了出口的,我们用它作为输入重新执行下我们的maze.exe:
在这里插入图片描述
呃呃呃…穿墙术? 可以看到这个地方,我们设置的两个墙被直接传过去了,为什么?这里我们回到源代码:

1. //If something is wrong do not advance
2. if (maze[y][x] != ' '
3.       &&
4.     !((y == 2 && maze[y][x] == '|' && x > 0 && x < W)))
5.  {
6.     x = ox;
7.     y = oy;
8.  }

原本应该是当前位置如果不为空格都应该回退,但是这里多了一个判定条件,等于说将第二列的‘|’都设置成了虚假墙壁,是可以穿过去的!!!因此得到了我们上面的答案。
OK,这个问题解决了。但是这样的话我们仍然只有一个答案,照理说应该会有很多条不同的路径都可以到达我们的出口才对。回顾我们上一个例子中说过,klee对于由同一位置到达的错误只会报告一次。因此,这里我们需要用到参数:-emit-all-errors (更多参数详情见:https://pastebin.com/tDPGNn9D

$ klee -emit-all-errors maze.bc

结果如图:

KLEE: done: total instructions = 134310
KLEE: done: completed paths = 309
KLEE: done: generated tests = 309

可以看到,想比之前的306个测试用例,这里多了3个,对应每一条路径都有一个测试报告。而那3个就是由于上述原因导致的没有生成的测试用例。
查看报告之后也可以看到一共有4个.assert.err的文件了:

… … … …
… test000008.ktest test000073.ktest test000138.assert.err
test000201.ktest test000262.ktest test000009.ktest
test000074.ktest test000138.kquery test000202.ktest
test000263.ktest test000010.ktest test000075.ktest test000138.ktest
test000203.ktest test000264.ktest test000019.ktest
test000084.ktest test000147.ktest test000212.assert.err
test000273.ktest test000020.ktest test000085.ktest test000148.ktest
test000212.kquery test000274.ktest test000021.ktest
test000086.ktest test000149.ktest test000212.ktest
test000275.ktest test000047.ktest test000112.ktest test000175.ktest
test000238.ktest test000301.assert.err test000048.ktest
test000113.ktest test000176.ktest test000239.ktest
test000301.kquery test000049.ktest test000114.ktest test000177.ktest
test000240.ktest test000301.ktest test000058.ktest
test000123.ktest test000186.ktest test000249.ktest
warnings.txt test000059.ktest test000124.ktest test000187.ktest
test000250.assert.err test000060.ktest test000125.ktest
test000188.ktest test000250.kquery …

我们分别打开这4个.ktest文件,最终得到4个路径:

1.sddwddddsddw
2.ssssddddwwaawwddddsddw
3.sddwddddssssddwwww
4.ssssddddwwaawwddddssssddwwww

总结:对于这个例子,我们通过符号执行比手动去寻找答案肯定方便多了,甚至比自己编写代码去搜索路径也方便(毕竟写代码也容易出错)。 同时,我们学习了如何通过增加断言的方式来获得我们需要的信息。

ChaosLee_
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ubuntu下KLEE的安装和分析GNC代码教程
04-15
ubuntu14.04下KLEE的安装和分析GNC代码教程
KLEE简单使用
qq_42308741的博客
11-04 1019
KLEE简单使用
KLEE入门教程
qq_26736193的博客
12-09 4186
本文1.首先介绍创建KLEE Docker容器的方法;2.然后介绍官网给出的一个指导实例;3.最后给出程序测试实例。 创建KLEE Docker容器 相关Dokcer的知识可以参见官网:https://docs.docker.com/get-started/ 1.创建临时KLEE Docker容器 $ docker run --rm -ti --ulimit='stack=-1:-1' ...
KLEE入门
热门推荐
vincent_nkcs的博客
12-23 1万+
简介 最近在使用KLEE工具进行软件缺陷检测时发现网上对于KLEE的介绍和使用的帖子很少,因此写此帖对KLEE的安装和使用方法做简单介绍,具体使用方法可以浏览官网http://klee.github.io/ 阅读本文你可以了解到: 什么是KLEE 如何安装KLEE 如何使用KLEE 什么是KLEE KLEE是一款开源的自动软件测试工具,基于LLVM编译底层基础,能够自动生成测试样...
ubuntu安装klee教程
goto2091的博客
01-22 1768
ubuntu16.04安装klee(基于llvm 3.8)教程 前言 查阅了很多资料,踩了不少的坑,总的来说,这个应该是比较完善的基于llvm3.8和ubuntu16.04的安装教程,至少我自己按照这个没有问题,而且可能遇到的坑也写在了这里。如果你有什么疑问,欢迎评论。 进入klee官网 http://klee.github.io/ 选择Documentation 的BuildingKLEE(L...
klee:KLEE符号执行引擎
04-28
KLEE符号虚拟机 KLEE是建立在LLVM编译器基础结构之上的符号虚拟机。 当前,有两个主要组件: 核心符号虚拟机引擎; 这负责执行支持符号值的LLVM位代码模块。 这由lib /中的代码组成。 面向支持uClibc的POSIX / ...
Klee
03-10
/克利一号Klee是一种用铅笔或钢笔手写的脚本字体。 它的安静设计具有优雅的外观,使其与传统的脚本和教科书字体区分开来。 正文的理想选择。 。下载字体您可以从下一页下载预构建的TrueType字体。从源代码构建字体...
KLEE
10-24
3. **约束求解**:当程序执行到分支点时,KLEE会生成一组布尔表达式(约束),并使用SAT或SMT求解器来确定是否存在满足这些约束的输入,从而使程序沿着不同的路径执行。 4. **测试输入生成**:如果求解器找到了满足...
Klee-Docker:Klee Dockerfile 开发
06-14
安装并克隆我们的项目后,您只需从项目根目录执行以下命令即可构建 Klee: $sudo docker build -t [image_name] . 其中 image_name 可以是您喜欢的最终图像的任何名称! :) 默认情况下,make 命令的作业数量是 5...
KLEE学习笔记】Docker安装KLEE+ KLEE的简单使用+KLEE的约束文件
最新发布
Young12138的博客
04-07 1321
klee安装以及简单使用步骤
实验三:klee的执行重现机制(示例分析)
weixin_30488085的博客
05-11 297
结论性内容: (1)如果是在程序中使用klee_make_symbolic,则可以使用下列脚本进行重现。 export LD_LIBRARY_PATH=/home/klee/xiaojiework/klee-xiaojie/build/debug/lib/:$LD_LIBRARY_PATH gcc -L /home/klee/xiaojiework/klee-xiaojie/build/...
ubuntu12.04-32位,安装KLEE及使用工具过程中遇到的问题
u012905667的专栏
09-23 2350
安装klee出现的问题: 前面都没有错,最后make check时出现:make[1]: *** [check-local] Error 1 网上查说make check运行时可能需要root权限。不对,make check不过对后面执行没有影响。不要 KLEE运行的第一个小例子: 使用klee_make_symbolic()函数来标明一个函数是符号变量
klee2.3 安装&&教程1-2
再走一步
01-01 1369
klee2.3 安装教程&&入门例子教程
KLEE 使用(一)------- 测试一个简单的函数
qq_21746331的博客
09-24 1927
0x1 手动代码插桩以及编译成中间码 在编译好 KLEE 后,可以通过测试一些简单的程序来入手 KLEE 的使用。假如有如下的代码: int get_sign(int x) { if (x == 0) return 0; if (x < 0) return -1; else return 1; } KLEE 是在源代码中对需要符号化的变量进行源代码级别的插桩来进行变量符号化的,通过 klee.h 头文件中声明的 klee_make_symbolic 函数(该函数只
如何利用 KLEE 符号执行引擎挖掘软件漏洞
Free雅轩的博客
05-10 313
将符号执行应用于任意真实程序很难,你通常必须对执行环境建模,并找到有效的方法来应对不确定性和路径爆炸。动态符号执行的想法是在任何输入上执行一个软件,同时探索所有可能的执行路径,而无需指定具体值。 具体示例如下,其中输入x未知,即符号: 符号执行在所有三个执行路径(x < 0, x > 100, 0 < = x < =100)并生成三个具体的测试用例:x=-1, x=101和x=23在击中断言之后。 你不再需要手动编写测试用例,你会沿执行路径捕获断言失败和内存安全漏洞。以上
KLEE--klee_assume(condition)的应用
fjnuzs的博客
03-22 1030
KLEE提供了一系列的函数,用于symbolic execution中。当程序调用这些函数时都会由KLEE负责处理。这些函数在include/klee/klee.h中声明,其中另外一个最常用的函数klee_make_symbolic在第一个实例中已经用过(具体见前面blog)。    函数:klee_assume(condition)    用法:该函数中的condition利用symboli...
KLEE 符号执行工具的有趣实例_codestorm_新浪博客
codestrom04
03-23 1401
转自:https://feliam.wordpress.com/2010/10/07/the-symbolic-maze/ In this post we’ll exercise the symbolic execution engine KLEE over a funny ASCII Maze (yet another toy example)! VS. ...
KLEE--一些工具介绍(klee-stats)
fjnuzs的博客
04-09 1342
klee-stats  klee-stats是一个Python脚本,用于从KLEE执行过程运行中形成的文件run.stats中抽取一些统计信息,并且用表格来表示。运行中的统计信息包括:  1.1 执行的指令数:The number of executed instructions  1.2 LLVM位代码上指令的覆盖率:Instruction coverage in the LLVM bitc...
实验二:klee处理未建模函数和处理error的方式
weixin_30718391的博客
05-10 433
首先,能够分析klee源码固然重要。但是目前尚未到那个地步。我按照我的过程,记录和分析我所做的实验。 结论性内容是: 1、klee处理printf传入符号值的情形时,报为error,不会将符号值具体化以后再调用printf进行具体执行。 2、klee处理error的时候,如果多条路径覆盖该error,则只报一次该error,并且只生成一个测试用例。 3、klee符号执行时的posix-ru...
docker下 klee第一个测试
05-28
首先,你需要在本地安装Docker。接下来,可以按照以下步骤在Docker下运行KLEE进行第一个测试: 1. 拉取KLEE Docker镜像: ``` docker pull klee/klee:latest ``` 2. 创建一个新的Docker容器并进入: ``` docker run -it --name klee_container klee/klee:latest ``` 3. 在容器中创建一个新的测试目录: ``` mkdir klee_test cd klee_test ``` 4. 编写一个简单的C语言程序,例如: ``` #include <stdio.h> int main() { int a = 5; int b = 10; int c = a + b; printf("The sum of %d and %d is %d\n", a, b, c); return 0; } ``` 将其保存为`test.c`。 5. 使用KLEE编译该程序: ``` clang -emit-llvm -g -c test.c ``` 6. 使用KLEE运行该程序: ``` klee test.bc ``` 7. KLEE将生成一些测试用例并输出到`klee-last`目录中,可以使用以下命令查看测试结果: ``` ktest-tool klee-last/test000001.ktest ``` 这样就完成了KLEE的第一个测试。当然,这只是一个简单的示例,你可以尝试更复杂的程序和测试用例来更好地了解KLEE的功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值