二进制漏洞挖掘之angr‘s Reaching Definition Analysis(一)

最新推荐文章于 2024-04-11 09:53:31 发布
最新推荐文章于 2024-04-11 09:53:31 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: angr 软件分析 文章标签: 软件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44229639/article/details/122094644
版权

文章目录

背景

[0] c = input()
[1] a = 6  
[2] b = a + 6  
[3] if c == 3:  
[4]   a = 4  
[5]   c = a + 1 
[6] else  
[7]   a = 2  
[8]   c = a + 2 
[9] b = a + 2
  • 在这里,我们可以通过在[5]处放置一个所谓的观察点来使用RD,然后问“我们可以在[5]处观察变量‘a’的哪些值?”答案显然是4。
  • 如果我们在[8]问同样的问题,答案是2,最终,在观测点[9]问这个问题会得到4和2作为答案。如果你对最新的答案感到困惑,请记住,这种技术是纯静态的:分析只是观察到,由于c没有特定的值,我们可以接受’ If '的两个分支,因此,a可以用4或2重新定义。
  • 变量只是编程语言中的抽象概念,它们被存储在内存和寄存器中。因此,我们可以使用RD分析对这些实体进行推理,并得到几乎相同的结果。
  • 如果我们考虑(完全未优化的)汇编中的前一个程序
[0]  mov rcx, [rsp+0x8]   ; moving variable 'c' in rcx
[1]  mov rax, 6         
[2]  mov [rsp+0x10], rax  ; setting var 'a'   
[3]  add rbx, rax, 6      ; defining variable 'b'
[4]  mov [rsp+0x1C], rbx  
[5]  cmp rcx, 0x3         ; checking if var 'c' is 3 or not
[6]  jne label2           ; if not, go to label2
[7]  mov [rsp+0x10], 0x4
[8]  mov rax, [rsp+0x10]
[9]  add rcx, rax, 0x1
[10] mov [rsp+0x8], rcx
[11] jmp end 
[12] label2:
[13]  mov [rsp+0x10], 0x2
[14]  mov rax, [rsp+0x10]
[15]  add rcx, rax, 0x1
[16]  mov [rsp+0x8], rcx
[17] end:
[18]  mov rax, [rsp+0x10]
[19]  add rbx, rax, 0x2
[20]  mov [rsp+0x1C], rbx

现在,我们需要定义一个观察点,理解我们想要问的问题,从而得到我们想要的结果。例如,如果我们想问,像以前一样,哪些是var ’ a ‘在分支中的可能值,其中’ c '等于3,我们需要问“哪些值我们可以在[9]为rax寄存器观察?”

示例

直觉我们将手动来发现这些依赖关系的相同技术:查看代码,并简单地查看变量是如何定义和在函数中使用的。在下面的截图中,您可以看到变量v25是如何由memb_alloc定义并由memcpy使用的。
在这里插入图片描述
Assembly:

.text:000037BA STRB    R5, [R0,#0x1C]
.text:000037BC MOVS    R3, #1
.text:000037BE STRB    R3, [R0,#0x1D]
.text:000037C0 ADDS    R0, #0xC
.text:000037C2 MOV     R3, R9
.text:000037C4 ADDS    R1, R3, #2
.text:000037C6 MOVS    R2, #0x10
.text:000037C8 LDR     R3, =(memcpy+1)
.text:000037CA BLX     R3  ;memcpy     <== OBSERVATION POINT 
.text:000037CC ADDS    R0, R4, #4      ; t
.text:000037CE MOVS    R1, #0x12C00    ; interval
.text:000037D2 LDR     R3, =(timer_set+1)
.text:000037D4 BLX     R3              ; timer_set
.text:000037D6 MOVS    R1, R4          ; item
.text:000037D8 LDR     R0, =others_services_list ; list
.text:000037DA LDR     R3, =(list_add+1)
.text:000037DC BLX     R3              ; list_add

这里的想法非常简单:我们希望在memcpy调用(地址0x37CA)上设置一个观察点,然后请求寄存器r0(保存v25的寄存器)的可见定义。

我们来看以下这段代码

import angr 
import autoblob # just to load the blob, more at https://github.com/subwire/autoblob
import angr.analyses.reaching_definitions.dep_graph as dep_graph

blob_path = "./blob.bin"
target_func_addr = 0x3609 # Odd addresses because ARM Thumb mode 
call_to_memcpy = 0x37CB # Odd addresses because ARM Thumb mode

print("Creating angr Project")
project = angr.Project(blob_path)

# Some standard options for the CFG
print("Creating binary CFG")
bin_cfg = project.analyses.CFG(resolve_indirect_jumps=True, 
                               cross_references=True, 
                               force_complete_scan=False, 
                               normalize=True, 
                               symbols=True)

# Getting the func object from the addres
target_func = bin_cfg.functions.get_by_addr(target_func_addr)
# Starting the ReachingDefinition analysis
rd = project.analyses.ReachingDefinitions(subject=target_func, 
                                          func_graph=target_func.graph,
                                          cc = target_func.calling_convention,
                                          observation_points= [("insn", 
                                                                call_to_memcpy,
                                                                0)],
                                          dep_graph = dep_graph.DepGraph()
                                          )

通过使用对位于0x37CB的memcpy的调用作为观察点,专门在目标函数0x3609上运行到达定义分析(注意,如果愿意,可以设置多个观察点)

通过研究结果对象,我们可以得到关于寄存器r0的信息:

# VEX offset is just how the VEX IR refers to registers
reg_vex_offset = project.arch.registers.get("r0", None)[0]
reg_defs = rd.one_result.register_definitions.get_objects_by_offset(reg_vex_offset)
print(reg_defs)
# RESULT:
# {<Definition {Atom:<Reg 8<4>>, Codeloc:<0x37c1 id=0x37bb[36]>, 
#              Data:DataSet<32>: {<Undefined>}}>}

结果告诉我们,在调用memcpy之前,定义寄存器r0的最新指令位于代码位置0x37c1(对于那些好奇的人来说:id是基本块地址,36是VEX语句),但它的值(在DataSet中)是Undefined。这是为什么呢?为了理解,我们来看看0x37c1的指令:
.text:000037C0 ADDS R0, #0xC
r0的定义来自于r0所持有的加到0xc的值。这一点r0的值是多少?这又是RD的问题:

rd2 = project.analyses.ReachingDefinitions(subject=target_func, 
                                          func_graph=target_func.graph,
                                          cc = target_func.calling_convention,
                                          observation_points= [("insn", 0x37c1 , 0)],
                                          dep_graph = dep_graph.DepGraph()
                                          )
reg_defs2 = rd2.one_result.register_definitions.get_objects_by_offset(reg_vex_offset)
print(reg_defs2)
# RESULT:
# {<Definition {Tags:{
#                    <ReturnValueTag {Function: 0x3a3d, 
#                                     Metadata:{'tagged_by': 'SimEngineRDVEX._handle_function_cc'}}>
#                   }, 
#              Atom:<Reg 8<4>>, 
#              Codeloc:<0x37b5 id=0x37b1[-2]>,
#              Data:DataSet<32>: {<Undefined>}}>}

之前r0的定义记录在地址0x37b5,但是通过查看这个地址,我们看不到r0的任何定义,对吧?

.text:000037B0
.text:000037B0 loc_37B0                ; m
.text:000037B0 process_pt = R8         ; pt *
.text:000037B0 LDR     R0, =registrations
.text:000037B2 LDR     R3, =(memb_alloc+1)
.text:000037B4 BLX     R3     ; memb_alloc  <==

嗯,RD分析是非常聪明的,通过利用函数的调用约定(CC),知道这个函数将返回一些东西,在当前的CC中,这个“东西”是在r0中返回的,因此,r0实际上是在这里重新定义的。因此,这些信息被集成到我们得到的Definition对象中。我们可以看到,确实,定义被标记为ReturnValueTag,指出不仅r0的内容是函数调用的结果,而且被调用的函数是0x3a3d.

现在我们可以很容易地理解为什么调用memcpy时观察到的值是Undefined: RD不知道函数0x3a3d返回的值,而只是知道函数r0将被重新定义。考虑到这一点,它将分配一个Undefined值,当RD引擎不得不将Undefined + 0xC相加时,所有内容都合并到Undefined中(对于熟悉数据流分析的人来说,这基本上就是合并到Top)。

这些定义的标记机制最近才被引入,我相信它能够对寄存器的这些定义链进行很多智能推理。特别地,我要利用这个机制来解决我们一开始讨论的问题。

回顾这个问题:我们试图找出memcpy的第一个参数(在这个体系结构中由寄存器r0保存)是另一个函数的返回值的情况。想法很简单:自动走回寄存器的定义链我们需要(通过使用dep_graph),直到定义不再是Undefined(在这种情况下这将意味着参数是一个常数)或直到我们遇到一个定义节点ReturnValueTag标记。

最后代码:

import angr 
import autoblob
import os
import angr.analyses.reaching_definitions.dep_graph as dep_graph

from angr.engines.light import SpOffset, RegisterOffset
from angr.knowledge_plugins.key_definitions.atoms import Register, SpOffset, MemoryLocation
from angr.knowledge_plugins.key_definitions.undefined import Undefined
from angr.knowledge_plugins.key_definitions.definition import Tag
from angr.knowledge_plugins.key_definitions.tag import ReturnValueTag
from angr.knowledge_plugins.key_definitions.tag import ParameterTag

from networkx.drawing.nx_agraph import write_dot

# Utility class to walk back the definitions graph.
class DefinitionExplorer():
    def __init__(self, project, rd_ddg_graph):
        self.project = project
        self.rd_ddg_graph = rd_ddg_graph

    def resolve_use_def(self, reg_def):
        # Now we need to analyze the definition for this atom
        reg_seen_defs = set()
        defs_to_check = set()
        defs_to_check.add(reg_def)
    
        # Cache of all seen nodes (Tie the knot)
        seen_defs = set()

        while len(defs_to_check) != 0:
            current_def = defs_to_check.pop()
            seen_defs.add(current_def) 
            # Check if the current Definition has a tag 
            def_value = self.check_definition_tag(current_def)
            
            # If def_value is not None we hit a "retval" and we collect it,
            # in the other case we need to check if it is Undefined, if yes gotta walk back. 
            if def_value:
                reg_seen_defs.add(def_value)
            else:
                dataset = current_def.data 
                # Boolean guard: do we have any undefined pointers? 
                undefined_pointers = False 
                
                # A value in DataSet can be "Int" or "Undefined"
                for data in dataset:
                    if type(data) == Undefined: undefined_pointers = True  

                # If we have undefined pointers (a.k.a. Top value) we need to process the predecessors.
                if undefined_pointers:
                    for pred in self.rd_ddg_graph.graph.predecessors(current_def):
                        if pred not in seen_defs:
                            defs_to_check.add(pred)
                else:
                     # This is a constant.
                    def_value = ("int", None)
                    reg_seen_defs.add(def_value)

        return reg_seen_defs

    # Checking the tag over a definition.
    def check_definition_tag(self, definition):
        if len(definition.tags) > 0:
            curr_tag = definition.tags.pop() # Ok just take the first one as for now.
            if type(curr_tag) == ReturnValueTag:
                return ("retval",curr_tag.function) 
            else:
                print(type(curr_tag))
                return None

# Path of the blob.
blob_path = "./atmel_6lowpan_udp_rx.bin"

# Address of memcpy function.
memcpy_addr = 0xf647

print("Creating angr Project")
project = angr.Project(blob_path)

print("Creating binary CFG")
bin_cfg = project.analyses.CFG(resolve_indirect_jumps=True, cross_references=True, 
                                force_complete_scan=False, normalize=True, symbols=True)

# Get CFG node for memcpy
memcpy_node = bin_cfg.model.get_any_node(memcpy_addr)
# Get all the XRefs (predecessor of the memcpy nodes)
memcpy_node_preds = memcpy_node.predecessors
# Get the CC of memcpy
memcpy_cc =  project.kb.functions[memcpy_addr].calling_convention

# Grab all functions that have an xrefs to the basic function
memcpy_funcs_preds = list(set([x.function_address for x in memcpy_node_preds]))

# Creating a dictionary of predecessors functions and the address 
# of the xrefs to the memcpy 
FUNC_PREDECESSORS = {}
for memcpy_func_pred_addr in memcpy_funcs_preds:
    FUNC_PREDECESSORS[str(memcpy_func_pred_addr)] = []
for x in memcpy_node_preds:
    FUNC_PREDECESSORS[str(x.function_address)].append(x)

OVERALL_DEFS = set()
FUNCS = set()

for memcpy_func_pred_addr, xrefs in FUNC_PREDECESSORS.items():
    memcpy_func_pred_addr = int(memcpy_func_pred_addr)
    print("Now analyzing predecessor func at {}".format(hex(memcpy_func_pred_addr)))
    print("XRefs are {}".format((xrefs)))
    
    for xref in xrefs:
        print("-->Analyzing XRefs at {}".format(hex(xref.addr)))
        # Get the Function object of the func containing the xref to memcpy
        memcpy_func_pred = bin_cfg.functions.get_by_addr(memcpy_func_pred_addr)

        # Call to the bf function is the last instruction of the block.
        call_to_xref_address = project.factory.block(xref.addr).instruction_addrs[-1]
        
        try:
            rd = project.analyses.ReachingDefinitions(subject=memcpy_func_pred, 
                                                      func_graph=memcpy_func_pred.graph,
                                                      cc = memcpy_func_pred.calling_convention,
                                                      observation_points= [("insn", call_to_xref_address , 0)],
                                                      dep_graph = dep_graph.DepGraph()
                                                     )
        except Exception as e:
            # Sorry for this, sometimes it explodes :)
            continue

        rd_ddg_graph = rd.dep_graph
        # Instantiate the object that will walk back the dep_graph.
        def_explorer = DefinitionExplorer(project, rd_ddg_graph)
        
        # Get the VEX offset for "r0"
        reg_vex_offset = project.arch.registers.get("r0", None)[0]
        
        if rd.observed_results != {}:
            # Cycle all over the results 
            for observed_result in rd.observed_results.items():
                reg_defs = observed_result[1].register_definitions.get_objects_by_offset(reg_vex_offset)
                for reg_def in reg_defs:
                    reg_seen_defs = def_explorer.resolve_use_def(reg_def)
                    for definition in reg_seen_defs:
                        OVERALL_DEFS.add(definition)

            for definition in OVERALL_DEFS:
                if definition[0] == "retval":
                    # It's not always guaranteed that the retval tag of a definition has the
                    # func addr, in those casese we call it a day (definition[1] will be None).
                    if definition[1] != None:
                        FUNCS.add(definition[1])
print(FUNCS)

在FUNCS中,我们可以看到所有为memcpy的r0参数提供值的函数。

2T1
关注
专栏目录
利用angr进行二进制静态分析
nku____的博客
11-15 4492
简介: angr是一个二进制代码分析工具,能够自动化完成二进制文件的分析,并找出漏洞。angr基于python,它将以前多种分析技术集成进来,­­­它能够进行动态的符号执行分析,也能够进行多种静态分析。本文以介绍angr的基本信息与静态分析二进制文件方法为主。 Angr的基本过程: (1)将二进制程序载入angr分析系统 (2)将二进制程序转换成中间语言(intermediate repr
数据流分析之Reaching Definition Analysis
Keep trying until you get it right
04-07 1207
(1)什么是Reaching Definition? 假设变量v在程序点p处被定义(赋值),我们可以说,变量v在程序点p处的定义到达了程序点p',如果: a. 程序点p和p'之间存在一条路径; b. 变量v在上述路径中没有被重新定义(赋值); 示意图如下: (2)什么是Reaching Definition Analysis? 设p为某程序点,v = E为v的某定义语句: ...
二进制漏洞挖掘angr‘s Reaching Definition Analysis(二)
weixin_44229639的博客
12-25 1081
如何编写一个函数处理程序来模拟一个函数对分析状态的影响? 结合angrReaching Definition Analysis,处理静态分析期间的函数调用。 相关实验表明,该方法已经在DLink、ProLink等路由器上发挥重要的作用。
Bit-Vector框架(1) — Reaching Definition Analysis
Canliture
01-25 392
Bit-Vector框架(1)——Reaching Definition Analysis #mermaid-svg-333SwcHNBd1lX6bv .label{font-family:'trebuchet ms', verdana, arial;font-family:var(--mermaid-font-family);fill:#333;color:#333}#mermaid-svg-333SwcHNBd1lX6bv .label text{fill:#333}#mermaid-svg-333Sw
【软件分析学习笔记】5:可达定义分析(Reaching Definitions Analysis)
LauZyHou的笔记
04-03 4714
从这节开始两节课先学习数据流分析的应用,再往后两节学习数据流分析的基本原理。这节学习可达定义分析,下节学习活跃变量分析和可用表达式分析,它们都是数据流分析的常见应用。 1 数据流分析回顾 数据流分析研究的是抽象出的application-specific data如何在控制流图(CFG)上流动,大多数静态分析都是在CFG上进行分析的。 1.1 safe-approximation 对大多数静态分析...
二进制各种漏洞原理实战分析总结
hhd1988的专栏
10-27 3372
二进制各种漏洞原理实战分析总结 0x01栈溢出漏洞原理 0x02 堆溢出漏洞原理 0x03 堆调试技巧 堆尾检查 页堆 0x04整数溢出漏洞原理 基于栈的整数溢出 ...
【软件分析/静态程序分析学习笔记】3.数据流分析(Data Flow Analysis) (上):可达性分析(Reaching Definitions)
zhang971105的博客
10-21 4395
本文主要是介绍了数据流分析是什么,并首先介绍了一种数据流分析的算法:可达性分析(Reaching Definitions)
angr 一个强大平台无关的二进制分析框架-python
06-18
angr 一个强大平台无关的二进制分析框架 angr angr 是一个平台无关的二进制分析框架。 它由加州大学圣巴巴拉分校的计算机安全实验室、亚利桑那州立大学的 SEFCOM、他们相关的 CTF 团队、Shellphish、开源社区和 @...
Python-angr一个强大平台无关的二进制分析框架
08-12
`angr` 是一个强大的、平台无关的二进制分析框架,它主要由 Python 开发,属于 Python 开发中的"其它杂项"类别。这个框架为逆向工程、漏洞挖掘、软件验证和安全分析提供了丰富的工具和功能。在深入探讨 `angr` 的...
binary_analysis:一套二进制分析工具
05-17
binary_analysis A set of tools for binary...-i 二进制文件路径 -o CFG图生成路径 inst 是否显示汇编指令 vex 是否显示vex语言 extract_raw_binary extract the raw binary of the .text section from an executable.
面向二进制程序的漏洞挖掘关键技术研究
06-06
一篇非常好的博士论文,解释了二进制程序的逆向分析的各个环节及相应的关键技术。
exploit:二进制漏洞挖掘技术摘要
04-25
exploit Summary of binary vulnerability mining techniques 该项目是关于挖掘二进制漏洞的一些技术和技巧,可以理解为它是一个教材,里面包含了一些常见漏洞的原理和攻击方式。 由于本人水平有限,不能避免可能会在文档中出现错误,敬请原谅。 注意: 该项目版权尽属于我个人所有,这包括项目中的文档和源码,你可以下载和查看,该项目涉及的所有文档和代码仅能用于学习交流目的,但不能以下用途否则必究: 1、相关项目和文档不能被发布到网上或其他地方 2、不能用于商业目的(如复制、摘抄、或者经过部分改变复制、摘抄或用来出书、发帖、发文章等。否则后果自负!!!),违者必究!!!
二进制漏洞挖掘-栈溢出-开启Canary1
08-04
二进制漏洞挖掘-栈溢出-开启Canary1
我的二进制漏洞挖掘方法(不是傻fuzz)
11-29
介绍二进制漏洞挖掘的一个方法思路,用IDA解析二进制代码,取得程序的函数,栈帧,数据流,控制流;取得程序的界面资源,取得资源对应的函数代码,综合分析程序的堆溢、栈溢、同步问题、线程安全问题、 逻辑漏洞分析等。适合硕士论文研究,或博士论文研究。偏方法讨论,偏思路分析。在漏洞挖掘方向上迷茫的高级同学可以看,注重实践的同学可能会失望,可以绕道。欢迎讨论批评。
MAKARA:MAKARA是一个动态二进制分析(DBA)框架。 基于angr符号执行框架的开发
04-13
通过符号执行、Fuzz模糊测试、污染分析的动态二进制分析方法,进行自动化漏洞挖掘,拟支持的漏洞类型 缓冲区溢出漏洞 格式化字符串漏洞 Use After Free Double Free 任意地址读写 寄存器错误 Tcache利用 ② 基础...
漏洞挖掘 符号执行_初探利用angr进行漏洞挖掘(上)
weixin_39943678的博客
12-15 1882
前言angr是一个基于python开发的一款符号执行工具,可以用于二进制分析,在CTF逆向中有很大的用途,例如可以通过约束求解找到复杂计算的正确解,从而拿到flag;然而angr的用途远不止于此,它甚至还能被用于AEG (Automatic Exploit Generation) ,有一个叫zeratool的工具实现了一些用于简单的pwn的AEG,AEG的步骤一般分为:挖掘漏洞生成利用exp验证e...
漏洞挖掘的艺术-面向二进制的静态漏洞挖掘
Yale的博客
09-18 2096
0x00 本文是本系列的第二篇,将对面向二进制程序的静态漏洞挖掘技术进行介绍与分析。 面向二进制程序的静态漏洞的挖掘技术由于缺少源代码中的结构化信息,面临着值集分析(vaule-set analysis,VSA)与控制流恢复不精确的问题,但是二进制程序相对于源码而言更容易获得,所以这方面的研究工作一直都有新的研究动态,并且会在0x02部分介绍目前流程的两种技术。在进一步分析之前,我们首先来具体解释前文提出的两个问题。 0x01 1.1 值集分析是一种结合数值分析和指针分析的静态分析算法。VSA是一种基于抽象
探秘Angr:动态程序分析与二进制漏洞研究的强大工具
最新发布
gitblog_00078的博客
04-11 995
探秘Angr:动态程序分析与二进制漏洞研究的强大工具 angr-docDocumentation for the angr suite项目地址:https://gitcode.com/gh_mirrors/an/angr-doc 在软件安全领域,对二进制代码进行静态和动态分析是发现潜在漏洞和理解其执行逻辑的重要手段。 是一个开源的、全面的二进制分析平台,它提供了丰富的技术集,用于模拟执行、路径探...
二进制卸载策略可以用什么算法求得
05-18
二进制卸载策略可以使用基于静态分析的算法来求得。 静态分析是指在不运行程序的情况下,分析程序的代码和数据,以了解程序的行为。对于二进制卸载策略,静态分析可以帮助我们分析程序的代码和数据,找到可能会引起卸载问题的部分,然后根据分析结果制定相应的卸载策略。 静态分析算法有很多种,其中比较常用的包括:控制流分析、数据流分析、符号执行、模型检测等。这些算法都有相应的工具和框架可以使用,如IDA Pro、Ghidra、Angr等。 通过使用静态分析算法和工具,可以深入了解程序的行为,并制定相应的二进制卸载策略。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值