利用angr获取CFG

最新推荐文章于 2024-02-27 20:39:06 发布
最新推荐文章于 2024-02-27 20:39:06 发布
阅读量3.1k 收藏 11
点赞数 1
分类专栏: python 文章标签: angr

静态二进制分析中,对于程序控制流图CFG的计算是很基础且重要的一步,很多的分析是要建立在CFG的基础上。angr作为二进制分析工具,当然提供了CFG功能,下面我们就来探索下要如何使用angr计算CFG,以及其中的坑。

angr中的CFG分为2种:CFGFast和CFGAccurate。两者的区别在于前者计算的东西更少,从而也就更快。一般情况下CFGFast就够了,但在研究中若要依靠CFG进一步分析的话可能就需要CFGAccurate了,更精准当然也就更慢,需在两者间加以权衡。

我们就以一个简单的例子开始吧。
在这里插入图片描述

  1. 首先计算CFGFast

在这里插入图片描述
说明:angr中CFG()是CFGFast()的子类,也就是在CFGFast()基础上的一个包装。

这里我们通过angr-utils将cfg绘画出来,看起来更直观:

在这里插入图片描述

这里我们主要关注0x4005bc->0x4005ff和0x4005bc->0x4005ee两条边,也就是源码中从func()函数有2次返回至main()函数的边。由于计算CFGFast()时不会考虑函数调用的上下文关系(在angr中称为context_sensitivity_level),导致单纯从CFG来看我们发现从0x4005f5节点可以走到0x4005ff,从0x4005e4节点也可以走到0x4005ff,而源码表示的含义是若要走到0x4005ff节点,那就必须经过0x4005f5,而从0x4005e4节点只能走到0x4005ee。因此,CFGFast丢失了上下文调用关系,从而导致在后向切片时的不准确性,也就是说当要对0x4005ff进行切片时,0x4005f5和0x4005e4都会在切片结果内,而实际上只有0x4005f5在我们希望的切片范围中。所以,为了保留这种上下文调用关系,angr还提供了一个API – CFGAccurate()。

  1. 计算CFGAccurate

在这里插入图片描述

CFGAccurate()默认的context_sensitivity_level参数=1

在这里插入图片描述

在上图中我们可以看出,有2个相同的func()函数节点,分别从0x4005e4和0x4005f5两个节点可到达。也就是说它把两次与func()函数的调用关系单独计算,从而将这两条路径分离开,从而对于0x4005ff节点进行后向切片时,只有0x4005f5会在切片范围内,表示从0x4005f5->0x4005ff是可达的,而从0x4005e4出发则是不能到达目标节点的,符合实际情况。

因此总结来说,angr计算CFG的过程就是:模拟执行每个基本块,并判断该基本块下一步会走向哪个基本块,从而建立cfg的边关系。然而存在一些困难:一个基本块在不同的上下文中会有不同的表现形式。举例来说,一个函数返回时的基本块(即上面的func()函数),对于不同的调用者而言该基本块的下一跳的地址是不一样的。因此上下文调用关系的保留情况对于CFG构建至关重要。angr中即是通过context_sensitivity_level参数来确定在调用栈中保留多少个函数,用一个官网的例子来解释下这个参数的概念吧:

在这里插入图片描述

这里对于puts函数而言,有4个调用链:main->alpha->puts,main->alpha->error->puts,main->beta->puts,main->beta->error->puts。在这种情况下,angr可以对每条调用链都分别处理,但在实际程序中往往不可行,因此angr提供context_sensitivity_level参数用于设置在调用栈中保存的函数调用者caller的个数。举例说明,对于puts函数而言:

在这里插入图片描述

context_sensitivity_level=1:当从alpha调用puts时,puts函数便会返回到alpha;当从beta调用puts时,puts便会返回到beta;对应上面的例子,当从main1调用func时会返回到main1,从main2处调用func的话会返回到main2。

context_sensitivity_level=0:CFG仅仅表示当从puts函数返回时,会返回到alpha, beta, error这三个函数;对应上面的例子,不管从哪里调用func函数最终返回时会到任何调用func函数的下一基本块,即同时返回到main1和main2。

上面就是context_sensitivity_level的概念和应用场景分析,当然该值越大计算的CFG越准确,但这也会指数级地增加分析的时间,到底是要速度还是要精度就要具体情况具体分析了。

原博客地址:https://joyceqiqi.wordpress.com/2017/04/25/利用angr获取cfg/

逆向工具angr的快捷教程(1):安装、排雷、CFG范例
白马负金羁
05-26 1万+
Angr是一个基于Python开发的二进制程序分析(Binary analysis)框架,可以用于开展动态符号执行(Symbolic Execution)和多种静态分析。作为系列文章的第一篇,本文将介绍安装angr的基本步骤,尤其是其中可能遇到的各种坑。然后,我们会利用angr对程序进行静态分析,生成相应的CFG,并以此演示angr的基本用法
[系统安全] 五十五.恶意软件分析 (7)IDA Python基础用法及CFG控制流图提取详解[上]
杨秀璋的专栏
01-22 1686
前文介绍了软件来源分析,结合网络攻击中常见的判断方法,利用Python调用扩展包进行区域溯源。这篇文章将开启IDA Python学习,首先介绍IDA Python配置过程和基础用法,然后尝试地区恶意软件的控制流图(CFG),再为后续的恶意软件家族分类或溯源提供帮助。由于作者是初学者,因此会遇到很多问题,欢迎各位大佬和读者指导。基础性基础,且看且珍惜。
angr cfg 构建相关组件安装
qq_42357476的博客
03-10 363
angr cfg 构建相关组件安装
Python angr 符号执行生成 C 语言 Control-flow Graph (CFG)
Aiden的笔记本
02-27 602
利用Python中的angr库进行符号执行,生成 C 语言 Control-flow Graph (CFG)的方法
angr生成控制流图CFG遇到的问题
weixin_44221684的博客
03-03 4795
环境:Windows 10; Python 3.7.3(虚拟环境) 依赖的第三方库:angr; angr-utils; bingraphvis; 1、AttributeError: 'XRef' object has no attribute 'sort' 错误定位在 "{{虚拟环境路径}}\lib\site-packages\bingraphvis\angr\annotator.py" 这个文件下的第384行。 在github的仓库里有人提出了相同的问题,作者给出的解答是: 第一个和
angr原理与实践(二)—— 各类图的生成(CFG CG ACFG DDG等)
qq_40229814的博客
09-07 6442
使用angr制作程序分析必备的分析图,以供漏洞检测等网络安全研究应用
图解angr中两种CFG的区别
^_^
08-16 1241
angr里提供两种CFG的生成,一种是CFGFast,一种是CFGEmulated。这两种究竟有什么不同呢? 本文主要是用图来说明下这个问题。可能回答的不是很完整。 CFGFast这种CFG生成的比较快,但是没有考虑上下文关系。比如函数A调用了printf函数,函数B也调用了printf函数。就会变成下图的形式。 而CFGEmulated这种CFG则是考虑了上下文关系,上面的例子在CFGEmulated里就会变成下图的样子。 现在来实际看看angr生成的控制流图是什么样子的。针对以下C程序,我们来画CF
利用angr进行二进制静态分析
nku____的博客
11-15 4618
简介: angr是一个二进制代码分析工具,能够自动化完成二进制文件的分析,并找出漏洞。angr基于python,它将以前多种分析技术集成进来,­­­它能够进行动态的符号执行分析,也能够进行多种静态分析。本文以介绍angr的基本信息与静态分析二进制文件方法为主。 Angr的基本过程: (1)将二进制程序载入angr分析系统 (2)将二进制程序转换成中间语言(intermediate repr
利用angr生成vfg
最新发布
04-03
使用 `CFGFast` 进行快速分析,或者使用 `CFGSuper` 获取更加详细的 CFG 数据结构。 ```python cfg = p.analyses.CFGFast() callgraph = cfg.functions.callgraph # 提取函数调用图 ``` 如果需要更高精度的 CFG 和 ...
angr源码分析——BackwardSlice
doudoudouzoule的博客
05-10 2796
BackwardSlice 程序反向切片,从给出的某一个目标点,获取所有到达该目标点的路径。angr的这个功能似乎并不完善,里面可以自己进行定制。在进行程序切片前,我们需要提供一个控制流图CFG。此外,为了确定程序反向的起始点,还需要提供一个target。下面是angr文档中给出的一个例子:>>> import angr # Load the project >>&g...
cfg-graph:CFG.js 图构造函数 API
07-13
CFG.js 图构造函数 用法 在制品 执照 该软件是在 MIT 许可下获得许可的。 版权所有 Fedor Indutny,2014 年。 特此授予任何人免费获得本软件副本和相关文档文件(“软件”)的许可,不受限制地处理本软件,包括但不限于使用、复制、修改、合并的权利、发布、分发、再许可和/或销售本软件的副本,并允许向其提供本软件的人员这样做,但须符合以下条件: 上述版权声明和本许可声明应包含在软件的所有副本或重要部分中。 该软件“按原样”提供,不提供任何形式的明示或暗示的保证,包括但不限于适销性、特定用途的适用性和不侵权的保证。 在任何情况下,作者或版权持有人均不对任何索赔、损害或其他责任承担任何责任,无论是在合同诉讼、侵权行为或其他方面,由软件或软件的使用或使用或其他原因引起的或与之相关的软件。
Python-angr一个强大平台无关的二进制分析框架
08-12
angr 一个强大平台无关的二进制分析框架
angr源码分析——CFGAccurate and Function Manager
doudoudouzoule的博客
05-06 3162
angr的控制流图恢复可以分为两种,一种是CFGAccurate,一种是CFGFast。关于它们的介绍,在我以前的一篇《自动化二进制分析技术》中有所提及,为了方便代码的理解,我把这部分内容再次放在本文的后面了。所以,如果你对控制流恢复一窍不通的话,可以跳到最后 控制流图恢复 部分先了解理论。angr通过执行每一个基本块并观察基本块的执行流向来构造CFG。然而,在不同的上下文中基本块的流向将不同。如...
angr源码分析——CFGFast 快速构建控制流图
doudoudouzoule的博客
06-11 3901
有时我们需要对一个二进制文件做一个全面的分析,然而使用CFGAccurate一般都需要提供一个start_state作为起始的状态点进行分析,这就导致分析并不全面。为了获得一个高代码覆盖率的CFG,我们可以使用CFGFast。下面分析一下CFGFast的源码,了解其恢复原理,然后进行自己的改进吧。CFGFast在给定的二进制文件中识别函数,并以非常快的方式构建一个控制流图:与CFGAccurate...
Angr CFG与IDA CFG区别
WateranFire的博客
07-30 865
AngrCFG与IDA不同,在call函数时会分隔基本块。 此外,当有另一个基本块跳到当前基本块的中间时,IDA会把当前基本块分割为两个基本块,而angr仍然把当前基本块视为整个基本块。可以在分析CFG时增加"normalize=True"选项来让angr默认分割 ...
angr path in symblic execution
瘦果的专栏
03-24 505
bu neng da pin yin , hao qi ida cfg : type python : irsb = proj.factory.block(addr=addr_main).vex main_state = proj.factory.blank_state(addr = addr_main) path = proj.factory.path(
angr分析程序的控制流图CFG
^_^
10-12 5279
angr分析程序的CFG 概述 在二进制上实现基本的分析一般是通过控制流图。一个CFG是一个基本块为节点,jump/ret/call为边的图。 在angr里,主要有两种CFG,一种是静态的CFGCFGFast)和动态的CFGCFGEmulated) CFGFast使用静态分析来产生CFG。生成的速度很快,但是理论上有些控制流的转换只在执行的时候确定。这个和其他逆向工具差不多,结果也匹配输出。 CFGEmulated使用符号执行来去获取CFG。理论上更精准,但是比较慢。目前还不是完整的,因为模拟执行时的准
程序分析-Joern工具工作流程分析
qq_44370676的博客
06-12 5164
主要介绍Joern的工作流程。
符号执行之angr学习-控制流图
water_likly的博客
03-09 4054
一 序 分析控制流图是分析程序必不可少地过程,通过分析控制流图能够快速地帮助我们了解程序结构,同时利用控制流图实现漏洞挖掘,Bug分析等也是非常有用地。Angr提供了多种分析工具,其中就有控制流图分析。(转载请注明出处) 对控制流图(CFG)的分析分为两个方面,静态控制流图分析和动态控制流图分析。 https://docs.angr.io/built-in-analyses/cfg 提供了对...
angr cfg
04-03
### 使用 angr 进行控制流图分析 angr 是一种用于二进制程序分析的强大框架,其核心功能之一就是能够生成和操作控制流图 (Control Flow Graph, CFG)[^1]。以下是关于如何使用 angr 来构建和利用控制流图的相关说明。 #### 安装 angr 在开始之前,需确保已安装 angr 库。可以通过以下命令完成安装: ```bash pip install angr ``` #### 构建基本的控制流图 通过 `angr.Project` 创建项目对象后,可以调用 `project.analyses.CFG()` 方法来生成目标二进制文件的控制流图。下面是一个简单的例子: ```python import angr # 加载二进制文件 binary_path = "./your_binary_file" proj = angr.Project(binary_path, load_options={'auto_load_libs': False}) # 生成控制流图 cfg = proj.analyses.CFG() # 打印所有节点的信息 for node in cfg.graph.nodes(): print(f"Address: {hex(node.addr)}, Size: {node.size}") ``` 上述代码加载了一个指定路径下的可执行文件并禁用了自动加载库的功能[^2]。随后创建了该二进制文件的 CFG 对象,并迭代打印出了其中每个节点的地址及其大小信息。 #### 高级选项配置 为了更精确地生成 CFG 或者提高性能,在初始化 `CFGFast` 分析器时还可以传递额外参数。例如设置内存优化模式或者启用符号执行支持等特性: ```python cfg_fast = proj.analyses.CFGFast( data_references=True, # 启用数据引用解析 normalize=True # 尝试规范化函数结构 ) print(cfg_fast.functions) ``` 这段脚本展示了如何通过开启某些标志位来自定义化我们的 CFG 分析过程[^3]。这里启用了对数据引用的支持以及尝试标准化各个子程序内部逻辑的能力。 #### 可视化控制流图 除了直接处理抽象表示外,我们也可以借助外部工具将这些关系可视化出来。Angr 提供了一种简单的方法导出 dot 文件格式以便于后续绘图软件读取渲染成图形界面形式展示给用户查看理解整个应用程序流程走向情况。 ```python dot_code = cfg.graph_to_dot() with open('cfg.dot', 'w') as f: f.write(dot_code) ``` 此部分演示了怎样把先前建立起来的那个复杂网络转换成为适合Graphviz使用的DOT描述语言版本保存至本地磁盘上等待进一步加工美化呈现效果[^4]。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值