McSema项目实战：从二进制文件到LLVM IR的完整转换指南

McSema项目实战：从二进制文件到LLVM IR的完整转换指南

mcsema Framework for lifting x86, amd64, aarch64, sparc32, and sparc64 program binaries to LLVM bitcode 项目地址: https://gitcode.com/gh_mirrors/mc/mcsema

前言

在逆向工程和程序分析领域，将编译后的二进制文件转换回中间表示(IR)是一项极具挑战性的任务。McSema项目正是为解决这一问题而生，它能够将x86/x64架构的二进制文件转换为LLVM IR，为后续的分析、修改和重新编译提供了可能。本文将详细介绍如何使用McSema工具链完成从二进制到LLVM IR再到可执行文件的完整转换过程。

环境准备

在开始之前，我们需要确保以下环境已经准备就绪：

1. Linux操作系统：本教程基于Linux环境，推荐使用Ubuntu 16.04或更高版本
2. McSema工具链：已安装并配置好mcsema-lift和mcsema-disass工具
3. 反汇编工具：64位版本，已配置使用系统Python 3.8解释器
4. LLVM工具链：建议使用LLVM 9或更高版本

目标二进制分析

我们选择xz工具作为示例目标，这是一个广泛使用的LZMA压缩/解压缩工具。选择它的原因包括：

• 功能复杂，能充分展示McSema的能力
• 易于验证转换后的功能是否正常
• 在大多数Linux系统中默认安装

通过以下命令可以查看目标二进制的基本信息：

$ xz -V
xz (XZ Utils) 5.2.2
liblzma 5.2.2

$ file `which xz`
/usr/bin/xz: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=e39115ef0c15f513cab77537cb13c9beaec0fdc1, stripped

控制流恢复

控制流恢复是二进制转换的第一步，也是最关键的一步。McSema使用反汇编工具作为后端进行反汇编和控制流分析。

准备工作

首先将目标二进制复制到工作目录：

cp /usr/bin/xz /tmp

执行控制流恢复

使用mcsema-disass工具进行控制流恢复：

mcsema-disass-3.8 \
    --disassembler "${DISASSEMBLER_PATH}/idat64" \
    --arch amd64 \
    --os linux \
    --entrypoint main \
    --pie-mode \
    --rebase 535822336 \
    --binary /tmp/xz \
    --output /tmp/xz.cfg \
    --log_file /tmp/log

参数说明：

• --disassembler：指定反汇编工具的可执行文件路径
• --arch和--os：指定目标架构和操作系统
• --entrypoint：指定分析的入口函数
• --pie-mode：处理位置无关可执行文件
• --rebase：重定位基地址，避免地址冲突
• --output：输出控制流图文件
• --log_file：日志文件路径

转换为LLVM IR

获得控制流图后，下一步是将其转换为LLVM IR：

mcsema-lift-9.0 \
    --arch amd64 \
    --os linux \
    --cfg /tmp/xz.cfg \
    --output /tmp/xz.bc \
    --explicit_args \
    --merge_segments \
    --name_lifted_sections

关键参数解析：

1. --explicit_args：将外部函数调用转换为显式参数调用，这对后续分析工具(如KLEE)非常重要
2. --merge_segments：合并所有段为一个全局变量，提高可靠性
3. --name_lifted_sections：为每个提升的段变量分配独立节区

转换完成后，我们可以验证生成的bitcode文件：

file /tmp/xz.bc
/tmp/xz.bc: LLVM IR bitcode

重建可执行文件

最后一步是将LLVM IR重新编译为可执行文件。

确定依赖库

首先需要确定原始二进制依赖的库：

ldd `which xz`

编译链接

使用remill-clang或clang进行编译链接：

remill-clang-9.0 -o /tmp/xz.lifted /tmp/xz.bc -lpthread -lm -ldl -llzma -Wl,--section-start=.section_1ff00000=0x1ff00000

关键点说明：

• -Wl,--section-start：确保提升的段变量位于正确的地址
• 链接参数需要包含所有依赖库

功能验证

验证新生成的二进制是否正常工作：

/tmp/xz.lifted -V
/tmp/xz.lifted --help

常见问题与解决方案

1. 反汇编工具相关问题：

   • 确保已接受EULA
   • 检查DISASSEMBLER_PATH环境变量是否正确
   • 确认使用与系统匹配的Python版本

2. 控制流恢复问题：

   • 检查日志文件中的错误信息
   • 尝试不同的入口点
   • 调整rebase地址

3. LLVM IR生成问题：

   • 确保使用匹配的LLVM版本
   • 检查bitcode文件是否完整

4. 重新编译问题：

   • 确认所有依赖库已安装
   • 检查段地址设置是否正确

进阶应用

成功完成基本转换后，McSema还可以用于：

1. 二进制分析：在LLVM IR层面进行静态分析
2. 代码加固：插入安全检查代码
3. 代码混淆：实现保护级别的提升
4. 跨平台移植：通过LLVM IR实现跨平台

总结

本文详细介绍了使用McSema工具链将二进制文件转换为LLVM IR并重新编译的全过程。通过这个流程，我们不仅能够获得程序的高级表示，还能在此基础上进行各种分析和修改。McSema为二进制分析领域提供了强大的工具支持，是安全研究人员和逆向工程师的重要助手。

对于想要深入使用McSema的读者，建议从简单的二进制开始，逐步熟悉工具链的各个组件和参数，最终实现对复杂二进制文件的完整分析和转换。

mcsema Framework for lifting x86, amd64, aarch64, sparc32, and sparc64 program binaries to LLVM bitcode 项目地址: https://gitcode.com/gh_mirrors/mc/mcsema