深入理解angr项目的执行流水线
项目地址: https://gitcode.com/gh_mirrors/an/angr 引言
在二进制分析领域,angr作为一个强大的符号执行框架,其核心是一个高度灵活且可深度定制的模拟器。要充分发挥angr的潜力,理解其执行流水线的工作原理至关重要。本文将深入剖析angr从调用simgr.run()开始到最终执行完成的整个执行流程,帮助开发者更好地控制和定制分析过程。
执行流程概述
angr的执行流水线可以看作是一个分层处理的过程,从顶层的SimulationManager到底层的执行引擎,每一层都有其特定的职责和处理逻辑。理解这个流水线对于调试分析过程、开发自定义探索技术以及优化性能都至关重要。
SimulationManager层
run()方法剖析
SimulationManager.run()方法是启动分析的入口点,它控制着整个执行过程的循环逻辑。该方法接受多个可选参数,其中最重要的是n和until:
n参数指定最大执行步数until参数接受一个回调函数,当返回True时终止执行
执行循环会在以下任一条件满足时终止:
- 达到指定的步数限制
until回调函数返回True- 探索技术的
complete()钩子指示分析完成 - 当前处理的stash变为空
explore()方法简析
explore()是run()的一个便捷包装,它自动添加了Explorer探索技术,简化了常见的一次性探索操作。其核心逻辑是临时添加探索技术,执行run(),最后移除该技术。
探索技术钩子机制
angr通过探索技术(ExplorationTechnique)实现对执行流程的定制。当调用use_technique()时,angr会动态修改SimulationManager的方法,使得探索技术的实现可以拦截或修改原始行为。这种机制虽然实现上有些"hacky",但提供了强大而清晰的接口。
step()方法详解
step()方法处理了许多边界情况,包括:
- 管理
deadendedstash - 处理
save_unsat选项 - 调用探索技术的
filter()钩子
其核心逻辑是遍历指定stash中的状态,对每个状态调用step_state(),然后根据返回结果更新stash。
step_state()方法
step_state()方法的主要职责是:
- 调用
successors()获取后继状态 - 将结果转换为stash映射字典
- 处理执行过程中可能出现的错误
successors()方法
该方法负责获取状态的后继,可以选择:
- 使用提供的
successor_func参数指定的函数 - 默认使用
project.factory.successors方法
执行引擎层
引擎选择机制
angr支持多种执行引擎,可以通过engine参数指定。这个参数可以从顶层方法一直传递到底层引擎,其他不相关的参数会被引擎自动过滤掉。
引擎处理流程
引擎的主要入口是SimEngine.process()方法,对于模拟管理器,引擎必须实现SuccessorsMixin,它提供了:
process()方法创建SimSuccessors对象- 调用
process_successors()让其他mixin填充结果
UberEngine的组成
angr的默认引擎UberEngine由多个mixin组成,按顺序尝试处理状态:
- SimEngineFailure:处理错误跳转类型
- SimEngineSyscall:处理系统调用
- HooksMixin:处理hook地址
- SimEngineUnicorn:使用Unicorn引擎执行原生代码
- SootMixin:处理Java字节码
- HeavyVEXMixin:使用VEX IR进行符号执行
各引擎mixin详解
-
SimEngineFailure:处理特殊跳转类型如
Ijk_EmFail、Ijk_MapFail等,通常抛出异常或终止执行。 -
SimEngineSyscall:通过
SimOS获取并执行对应的SimProcedure来处理系统调用。 -
HooksMixin:查找并执行地址hook,也可以通过
procedure参数强制指定处理过程。 -
SimEngineUnicorn:在满足条件时使用Unicorn引擎进行具体执行。
-
SimEngineVEX:作为最后的回退方案,将字节码提升为IRSB并进行符号执行。
Unicorn引擎使用详解
启用Unicorn引擎
要启用Unicorn引擎,需要设置状态选项:
state.options.update(angr.options.unicorn)
这会启用一组优化过的选项,包括:
- UNICORN:基本启用
- UNICORN_SYM_REGS_SUPPORT:符号寄存器支持
- INITIALIZE_ZERO_REGISTERS:零寄存器初始化
- UNICORN_HANDLE_TRANSMIT_SYSCALL:系统调用处理
Unicorn执行流程
- 启动阶段:设置最大步数防止无限循环
- 内存映射:按需延迟映射内存页
- 执行监控:记录执行步数和终止原因
- 冷却机制:避免频繁进入/退出Unicorn造成的性能损失
调试技巧
可以通过日志了解Unicorn的执行细节:
import logging
logging.getLogger('angr.engines.unicorn_engine').setLevel('DEBUG')
logging.getLogger('angr.state_plugins.unicorn_engine').setLevel('DEBUG')
日志会显示:
- 开始/结束执行的地址
- 内存映射情况
- 执行步数统计
- 退出原因分析
总结
angr的执行流水线是一个精心设计的层次结构,从高层的执行管理到底层的具体执行引擎,每一层都提供了丰富的定制点。理解这个流水线的工作原理,可以帮助开发者:
- 更有效地调试分析过程
- 开发自定义的探索技术
- 优化分析性能
- 处理特殊的执行情况
通过合理配置状态选项和引擎参数,可以针对不同的分析需求调整angr的行为,获得最佳的分析效果。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
