转载_基于探针的动态插桩

最新推荐文章于 2022-11-13 22:24:37 发布
最新推荐文章于 2022-11-13 22:24:37 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: C/C++

由于基于探针的动态插桩,通常只能在函数边界插入代码,难以对程序的指令流进行很好的分析,所以平时用的比较少。以前使用微软研究院的detour的API觉得它很神奇,最近看了下它的原理还是很简单:基于简单动态重写函数的开始几个字节,然后跳转到特定函数。呵呵,但是要做好还是不容易的。闲来无事写了一个很粗糙的实现。

 

基本原理就是:(1)保存函数的入口的几个字节,并插入一天跳回函数的jmp指令(这一块代码称为trampaline)。这里的前几个字节不是个定数是有原因的,实际上我们只需要前5字节来保存一条JMP指令,但入口的5个字节可能并不是几条完整的指令,因此若只保存5个字节就会截断指令。如下面的代码所示,test函数入口的第5个字节包含于sub,保存前6个字节就可以避免截断sub指令。

[cpp]  view plain copy
  1. 080483e4 <test>:  
  2.  80483e4:   55                      push   %ebp  
  3.  80483e5:   89 e5                   mov    %esp,%ebp  
  4.  80483e7:   83 ec 18                sub    $0x18,%esp  
  5.  80483ea:   c7 04 24 e0 84 04 08    movl   $0x80484e0,(%esp)  

(2)修改函数入口的5个字节为jmp xxx指令,其中的xxx就是探针函数到当前函数的偏移量。跳往探针函数并执行它。

(3)执行trampaline代码,执行原函数。

(3)恢复原函数的入口。

 

基本数据结构:

[c-sharp]  view plain copy
  1. /*参数类型,包含的字节数,例如INT8表示数据大小为一个字节*/  
  2. typedef enum arg_type {  
  3.         NULL_TYPE,  
  4.         INT8,  
  5.         INT16,  
  6.         INT32,  
  7.         INT64  
  8. } arg_type_t;  
  9.   
  10. /*探针函数描述符*/  
  11. typedef struct probe {  
  12.         int     id; /*探针id*/  
  13.         int     ref/*引用计数*/  
  14.         void    *probe_fuc; /*函数地址*/  
  15.         arg_type_t    arg[MAX_ARG]; /*参数类型*/  
  16.         char    name[MAX_FUC_NAME_LEN]; /*函数名*/  
  17.         struct probe *next; /*下一探针*/  
  18. }probe_t;  
  19.   
  20. /*trampline描述符*/  
  21. typedef struct trampline {  
  22.         char code[MAX_CODE_CACHE]; /*保存函数入口代码*/  
  23.         struct trampline *next;  
  24. }trampline_t;  
  25.   
  26. /*函数描述符*/  
  27. typedef struct fuc_info {  
  28.         int     id; /*id*/  
  29.         char    fuc_name[MAX_FUC_NAME_LEN]; /*函数名*/  
  30.         void    *fuc_addr; /*函数地址*/  
  31.         arg_type_t     arg[MAX_ARG]; /*参数类型*/  
  32.         trampline_t *tp;  
  33.         probe_t *probe_list;  
  34. }fuc_info_t;  

 

初始化

利用Linux LD_PRELOAD的特性,初始化整个库。其实在linux下利用LD_PRELAOD可以直接拦截库函数的执行,这里使用这个简化实现。

[c-sharp]  view plain copy
  1. void __attribute__((constructor)) lib_init() {  
  2.     probe_t *probe;  
  3.     fuc_info_t *fuc;  
  4.   
  5.     printf("init lib/n");  
  6.   
  7.     //分配trampaline,将其权限设为可执行等  
  8.     tp_table = mmap(NULL, MAX_TABLE_SIZE * sizeof(trampline_t), PROT_EXEC | PROT_READ | PROT_WRITE, MAP_ANONYMOUS | MAP_PRIVATE, -1, 0);  
  9.       
  10.     if (tp_table == -1) {  
  11.             printf("lib_init fail to map/n");  
  12.             exit(1);  
  13.     }  
  14.   
  15.          //可以提供一个接口,让用户来指导探针和原函数信息  
  16.            //这里简化这一步  
  17.     probe = &probe_table[0];  
  18.     probe->probe_fuc = (void *)hello;  
  19.     strcpy(probe->name,"hello");  
  20.     probe->next = NULL;  
  21.   
  22.     fuc = &info_table[0];  
  23.     strcpy(fuc->fuc_name,"test");  
  24.     fuc->fuc_addr = 0x080483e4;  
  25.     fuc->probe_list = NULL;  
  26.     fuc->tp = &tp_table[0];  
  27.       
  28.          //插入探针  
  29.     insert_probe(fuc, probe);  
  30. }  

 

插入探针

偏移量计算一般是目标地址 - jmp的下一条指令的地址。在计算跳回员函数偏移量时,多加6个字节。因为6个字节的代码已经被执行了,同时这样做也避免了在探针和原函数间跳来跳去的死循环。这里作为了简单保存的6字节,因为测试的是本文开始的test函数。

 

 

[c-sharp]  view plain copy
  1. static void insert_probe(fuc_info_t *fuc, probe_t *probe) {  
  2.     void *p;  
  3.     char *code;  
  4.     trampline_t *tp;  
  5.     fuc_info_t *info;  
  6.   
  7.     info = fuc;  
  8.     tp = info->tp;  
  9.   
  10.     p = PAGE_ALIGN(info->fuc_addr);  
  11.   
  12.     //修改代码段权限为可写  
  13.     if (mprotect(p, PAGESIZE, PROT_EXEC | PROT_READ | PROT_WRITE) == -1)  
  14.             printf("error change prot/n");  
  15.       
  16.     //复制入口代码  
  17.     memcpy(tp->code, info->fuc_addr, 6);  
  18.     //jmp info->fuc_addr + 6,跳往保存代码的下一条指令  
  19.     tp->code[6] = 0xE9; //jmp的机器码  
  20.     //偏移量,(info->fuc_addr + 6) - (&tp->code[6] + 5)(jmp的下一条指令)  
  21.     *((int *)(tp->code + 7)) = (char *)info->fuc_addr - tp->code - 5;  
  22.   
  23.     code = (char*)info->fuc_addr;  
  24.     //jmp dispatch,跳到我们的分派函数  
  25.     code[0] = 0xE9;  
  26.     *((int *)(code + 1)) = (int)dispatch - (int)code - 5;  
  27.   
  28.     //重置权限  
  29.     if (mprotect(p, PAGESIZE, PROT_EXEC | PROT_READ) == -1)  
  30.         printf("error rechange prot/n");  
  31.       
  32.     probe->next = info->probe_list;  
  33.     info->probe_list = probe;  
  34. }  

 

删除探针

为了简单,只回复函数入口代码

[c-sharp]  view plain copy
  1. static void remove_probe(fuc_info_t *fuc) {  
  2.     trampline_t *tp;  
  3.     fuc_info_t *info;  
  4.     void *p;  
  5.   
  6.     info = fuc;  
  7.     tp = info->tp;  
  8.       
  9.     p = PAGE_ALIGN(info->fuc_addr);  
  10.   
  11.     if (mprotect(p, PAGESIZE, PROT_EXEC | PROT_READ | PROT_WRITE) == -1)  
  12.             printf("error change prot/n");  
  13.       
  14.     //恢复函数入口  
  15.     memcpy(info->fuc_addr, tp->code, 6);  
  16.   
  17.     if (mprotect(p, PAGESIZE, PROT_EXEC | PROT_READ) == -1)  
  18.         printf("error rechange prot/n");  
  19.   
  20. }  

dispatch函数

用来管理整个跳转和探针函数的执行。原函数有参数的话,需要进一步处理,这里简化了这一步。

[c-sharp]  view plain copy
  1. static void dispatch() {  
  2.     probe_t *probe;  
  3.     trampline_t *tp;  
  4.     //根据地址进行查找,这里简化了这一步  
  5.     fuc_info_t *info = &info_table[0];  
  6.       
  7.     tp = info->tp;   
  8.     probe = info->probe_list;  
  9.   
  10.     //处理参数,未实现  
  11.       
  12.     //执行探针列表的探针函数  
  13.     while (probe) {  
  14.         ((enter)probe->probe_fuc)();  
  15.         probe = probe->next;  
  16.     }  
  17.   
  18.     //执行原函数  
  19.     ((enter)tp->code)();  
  20.   
  21.     //作为测试删除函数的插桩信息  
  22.     remove_probe(info);  
  23. }  

 

探针的代码

[c-sharp]  view plain copy
  1. static void hello() {  
  2.     printf("Hello world, I am a probe fuc!/n");  
  3. }  
  

 

fini函数:释放相应资源

[c-sharp]  view plain copy
  1. void __attribute__ ((destructor)) lib_fini() {  
  2.     int retval;  
  3.       
  4.     printf("fini lib/n");  
  5.     retval = -1;  
  6.   
  7.     if (tp_table) {  
  8.         retval = munmap(tp_table, MAX_TABLE_SIZE * sizeof(trampline_t));  
  9.         if (retval == -1) {  
  10.                 printf("lib_fini fail to free map/n");  
  11.         }  
  12.     }  
  13. }  

 

测试程序:test.c

[c-sharp]  view plain copy
  1. #include <stdio.h>  
  2.   
  3. void test() {  
  4.     printf("test /n");  
  5. }  
  6.   
  7. int main()  
  8. {  
  9.     int a,b;  
  10.       
  11.     test();  
  12.     printf("after remove probe/n");  
  13.     test();  
  14.     return 0;  
  15. }  

 

执行结果:

LD_PRELOAD=./libprobe.so ./test。可以看到hello函数在test之前执行了,删除探针后函数恢复正常执行。

[c-sharp]  view plain copy
  1. init lib  
  2. Hello world, I am a probe fuc!  
  3. test  
  4. after remove probe  
  5. test  
  6. fini lib  

williamwanglei
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于探针动态插桩
自由而不散漫,主见而不偏执
07-25 2370
由于基于探针动态插桩,通常只能在函数边界插入代码,难以对程序的指令流进行很好的分析,所以平时用的比较少。以前使用微软研究院的detour的API觉得它很神奇,最近看了下它的原理还是很简单:基于简单动态重写函数的开始几个字节,然后跳转到特定函数。呵呵,但是要做好还是不容易的。闲来无事写了一个很粗糙的实现。基本原理就是:(1)保存函数的入口的几个字节,并插入一天跳回函数的jmp指令(这一块代码称为trampaline)。这里的前几个字节不是个定数是有原因的,实际上我们只需要前5字节来保存一条JMP指令,但入口
c++可视化性能测试
weixin_45566993的博客
06-19 460
本文所有代码贴出来的目的是帮助大家理解,并非是要引导大家跟写,许多环境问题文件问题没有详细说明,代码也并不全面,达不到跟做的效果。建议直接阅读全文即可,我在最后会给出详细代码地址,对源代码细节更感兴趣的同学可以下载参考。在c++中进行性能测试是令人头疼的问题,我们往往需要在数以千计的log中分析出性能瓶颈————找出最耗时的部分。而这部分工作是极其枯燥的:首先,我们需要准备好一个计算时间的工具类,好在我们拥有,有了它我们就可计算出过程经历的时间。聪明的你或许会搞出这样一个东西: 哦!我觉得他已经足够好了,或
NC刷题笔记13-模拟
且视他人之疑目如盏盏鬼火,大胆走吾之夜路!
04-03 723
NC刷题笔记13-模拟BM97 旋转数组BM98 螺旋矩阵BM99 顺时针旋转矩阵BM100 设计LRU缓存结构BM101 设计LFU缓存结构 BM97 旋转数组 描述 一个数组A中存有 n 个整数,在不允许使用另外数组的前提下,将每个整数循环向右移 M( M >=0)个位置,即将A中的数据由(A0 A1 ……AN-1 )变换为(AN-M …… AN-1 A0 A1 ……AN-M-1 )(最后 M 个数循环移至最前面的 M 个位置)。如果需要考虑程序移动数据的次数尽量少,要如何
动态二进制插桩的原理和基本实现过程(Pin/DynamoRIO/Frida)
热门推荐
海阔天空
04-26 1万+
英文原文全文http://deniable.org/reversing/binary-instrumentation 译转自https://www.4hou.com/binary/13026.html和https://www.4hou.com/binary/13116.html 翻译并不全 感谢翻译作者luochicun 目录 前言 Pin DynamoRIO Frida 前言 ...
代码插桩技术
qq_41854911的博客
11-13 1490
程序插桩,最早是由J.C. Huang 教授提出的,它是在保证被测程序原有逻辑完整性的基础上在程序中插入一些(又称为“探测仪”,本质上就是进行信息采集的,可以是或采集覆盖信息的),通过的执行并抛出程序运行的数据,通过对这些数据的,可以获得程序的和数据流信息,进而得到等动态信息,从而实现测试目的的方法。中文名程序插桩外文名提出者J.C. Huang分 类插桩插桩解 释在中插入一些。
PIN动态插桩工具
10-24
PIN,Intel的动态插桩工具,很好用,这个是Linux版本的,编写插装代码简单易学,网上也有很多教程,大家参考哦!
论文研究-基于动态插桩的程序分析工具的性能改进.pdf
07-22
基于动态插桩的工具被广泛应用于程序分析中, 但该类工具都面临着严重的性能问题。这类工具的性能开销主要由两部分组成, 即插桩引擎的开销和用户定义的分析程序的开销。为降低用户定义的分析工具的开销, 首先分析了...
基于动态二进制插桩的密钥安全性检测
01-20
针对加密软件中的密钥安全性问题,提出一种基于动态二进制插桩的密钥安全性检测方法。该方法面向CryptoAPI加密应用程序,首先通过对CryptoAPI密钥应用模式的分析,指出潜在的密钥安全性漏洞;然后以动态二进制分析...
data-structure-pin.zip_intel-pin_memory access_pin 插桩_pygraphviz
09-23
通过intel-pin插桩检测代码内存分配以及读写操作,再通过Python脚本实现内存访问结构的图形化展示
All in one:基于运行时单探针插桩的代码疫苗技术.pdf
09-28
All in one:基于运行时单探针插桩的代码疫苗技术.pdf
c++ Linux 流量统计,抓包重组
01-31
网络流量探针程序,基于Linux 的,通过在网口上抓包对数据包进行重组,解析,最终生成json 字符串,存储至redius
论文研究-基于插桩技术的并行程序性能分析方法设计和实现.pdf
07-22
介绍了一种异构环境下的并行调试及性能分析工具ParaVT的设计方法和实现。通过对并行程序源代码的分析处理,利用自动插桩模板插入用于调试和性能分析的用户代码,从而对并行程序进行断点调试和性能参数收集,达到进一步优化程序设计的目的。
高频量化交易系统c++
01-16
灵活配置交易目标; 对交易逻辑进行高层次抽象,将策略开发者从交易接口的底层细节中解脱出来; 可自定义C++变量的“探针”,通过“探针”可以在盘中实时可视化任何变量的走势; 策略可以将当前运行状态保存到磁盘,方便进行系统迁移; 策略可以自定义“人工干预动作”,在线上策略运行过程中,可人工向策略发送一些预定义的信号; 同一交易服务器上的不同策略之间可以互相通信; 优雅的框架,定义了大量的宏,是的策略的代码简洁易懂;
动态二进制分析与插桩原理介绍(PDF)
12-02
老外的演讲稿(PDF),主要是介绍了二进制插桩的原理与实现,然后举了一些例子来加以讲解分析。英文太渣的童鞋就自己翻译下再阅读吧~~~
各种语言探针
02-26
探针,asp php aspnet探针。买空间必备
Java 调试工具、热部署、JVM 监控工具都用到了它
Java_supermanNO1的博客
09-18 480
我们平时写 Java Agent 的机会确实不多,也可以说几乎用不着。但其实我们一直在用它,而且接触的机会非常多。下面这些技术都使用了 Java Agent 技术,看一下你就知道为什么了。 各个 Java IDE 的调试功能,例如 eclipse、IntelliJ ; 热部署功能,例如 JRebel、XRebel、 spring-loaded; 各种线上诊断工具,例如 Btrace、Greys,...
springmvc 动态修改返回值类型,实现方法既能被ajax调用,又能被同步请求调用...
weixin_33705053的博客
11-20 227
2019独角兽企业重金招聘Python工程师标准>>> ...
C++: 指针微探(指针与数组)
C++ JAVA的专栏
04-11 953
1: 指针与数组 隐式指针转换,指针 p 自动指向数组第一个元素
程序插桩
alu_xd的博客
07-27 8023
程序插桩技术是在被测程序中插入探针,然后通过探针的执行来获得程序的控制流和数据流信息,以此来实现测试的目的。因此,根据探针插入的时间可以分为目标代码插桩和源代码插桩。目标代码插桩
插桩java_字节码插桩技术
最新发布
06-06
字节码插桩技术是指在Java程序运行时修改Java字节码的过程。它可以用于实现一些高级的功能,如性能分析、代码覆盖率测试、代码安全检查等。字节码插桩技术通常需要借助第三方工具,例如ASM、Javassist、Byte Buddy等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值