符号执行(3) - 与库函数和操作系统交互

最新推荐文章于 2023-07-26 12:08:06 发布
原创 最新推荐文章于 2023-07-26 12:08:06 发布 · 692 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在符号执行中如何处理库函数和操作系统调用的问题,重点是KLEE工具。KLEE通过支持POSIX运行时和uclibc库,能更好地模拟应用程序的行为。在编译和配置KLEE时,需要添加特定参数来支持libc和POSIX运行时。通过示例展示了在不同模拟环境下,KLEE执行指令数的变化及其对测试用例生成的影响。最后提到,通过link-llvm-lib参数可以链接更多库以支持程序中其他库函数的调用。

符号执行(3) - 与库函数和操作系统交互

符号执行有两个主要的问题:一个就是爆炸的状态中进行搜索,也就是上节我们讨论过的时间和策略的问题;另一个就是模拟环境的问题。
一个应用程序总是要调用库函数和操作系统调用的,如果不对这两部分进行建模,那么对于实际的应用程序的限制就太大了。

Klee工具的优势就是不仅在研究上有建树,而且在工程落地上下了很多工夫,比如提供了posix runtime的支持,这样对操作系统的调用就可以被识别出来。

编译支持c库函数的klee

针对c库函数,klee基于uclibc库进行建模,对c语言库提供了良好的支持。

为了支持klee-uclibc,我们需要下载和编译它的代码:

git clone https://github.com/klee/klee-uclibc.git  
cd klee-uclibc  
./configure --make-llvm-lib  
make

系统会通过wget去下载uclibc的包,所以如果是没有wget工具的需要先安装下。然后会编译成llvm的库。

安装好uclibc的代码之后,我们就可以编译带uclibc库的klee了,通过KLEE_UCLIBC_PATH参数来指定:

cmake \
  -DENABLE_SOLVER_STP=ON \
  -DENABLE_POSIX_RUNTIME=ON \
  -DENABLE_KLEE_UCLIBC=ON \
  -DKLEE_UCLIBC_PATH=/workspace/xulun/github/ai/klee-uclibc/ \
  ..

系统越来越复杂了,稳妥起见,我们加上单元测试和集成测试来保证我们自己的质量。别测别人的代码,结果自己出问题了就不好玩了。

我们用googletest作为测试框架,先下载解压:

wget -c https://github.com/google/googletest/archive/release-1.7.0.zip
unzip release-1.7.0.zip

然后我们加上ENABLE_UNIT_TESTS=ON和GTEST_SRC_DIR=

cmake \
  -DENABLE_SOLVER_STP=ON \
  -DENABLE_POSIX_RUNTIME=ON \
  -DENABLE_KLEE_UCLIBC=ON \
  -DKLEE_UCLIBC_PATH=/workspace/xulun/github/ai/klee-uclibc/ \
  -DENABLE_UNIT_TESTS=ON \
  -DGTEST_SRC_DIR=/workspace/xulun/github/ai/googletest-release-1.7.0/ \
  ..

现在就可以执行编译了:

make

编译好了之后,我们运行下测试吧。

  • 单元测试:make unittests
  • 系统测试:make systemtests

单元测试运行结果是这样的:

make unittests
[  2%] Built target gtest
[ 10%] Built target kleeSupport
[ 12%] Built target gtest_main
[ 13%] Built target RNGTest
[ 15%] Built target kleeBasic
[ 31%] Built target kleaverExpr
[ 52%] Built target kleaverSolver
[ 53%] Built target AssignmentTest
[ 56%] Built target ExprTest
[ 58%] Built target RefTest
[ 60%] Built target Z3SolverTest
[ 62%] Built target SolverTest
[ 74%] Built target kleeModule
[ 91%] Built target kleeCore
[ 92%] Built target SearcherTest
[ 93%] Built target TreeStreamTest
[ 96%] Built target DiscretePDFTest
[ 98%] Built target TimeTest
Scanning dependencies of target unittests
[100%] Running unittests

Testing Time: 1.70s
  Expected Passes    : 36
[100%] Built target unittests

从libc到posix的模拟

下面我们以读文件为例,看看有libc和posix与没有他们的差别,和对生成测试用例的差别。

没有libc的情况

代码如下:

#include <stdio.h>
#include "klee/klee.h"

int fileo(int n){
    if(n<=0){
        return -1;
    }
    FILE* fp = fopen("data.dat","r+");
    if(fp!=NULL){
        if(n>10){
            return -2;
        }
        char data[10];
        int nCount = fread(data,1,n,fp);
        fclose(fp);
        return nCount;
    }else{
        return -3;
    }
}

int main(){
    int a;
    klee_make_symbolic(&a,sizeof(a),"a");
    return(fileo(a));
}

data.dat文件中存了10个字符,n是从1到10的字符数。如果n<=0没意义,返回-1,如果文件可以打开,但是n>10,返回-2,如果打开文件失败返回-3。如果在1到10之间,则返回读取的字节数。

我们还是先编译成llvm指令:

clang -emit-llvm -c file.c

我们还是跟之前一样,直接无参数用klee去生成测试用例:

klee file.bc
KLEE: output directory is "/workspace/xulun/github/libs/klee-out-37"
KLEE: Using STP solver backend
KLEE: WARNING: undefined reference to function: fclose
KLEE: WARNING: undefined reference to function: fopen
KLEE: WARNING: undefined reference to function: fread
KLEE: WARNING ONCE: calling external: fopen(94890914939824, 94890915168664) at [no debug info]
KLEE: ERROR: (location information missing) external call with symbolic argument: fread
KLEE: NOTE: now ignoring this error at this location

KLEE: done: total instructions = 39
KLEE: done: completed paths = 3
KLEE: done: generated tests = 3

我们看下生成的测试case,分别是0,1和最大整数:

[root@615cce8a2248 libs]# ktest-tool ./klee-out-37/test000001.ktest
ktest file : './klee-out-37/test000001.ktest'
args       : ['file.bc']
num objects: 1
object 0: name: 'a'
object 0: size: 4
object 0: data: b'\x00\x00\x00\x00'
object 0: hex : 0x00000000
object 0: int : 0
object 0: uint: 0
object 0: text: ....
[root@615cce8a2248 libs]# ktest-tool ./klee-out-37/test000002.ktest
ktest file : './klee-out-37/test000002.ktest'
args       : ['file.bc']
num objects: 1
object 0: name: 'a'
object 0: size: 4
object 0: data: b'\x01\x00\x00\x00'
object 0: hex : 0x01000000
object 0: int : 1
object 0: uint: 1
object 0: text: ....
[root@615cce8a2248 libs]# ktest-tool ./klee-out-37/test000003.ktest
ktest file : './klee-out-37/test000003.ktest'
args       : ['file.bc']
num objects: 1
object 0: name: 'a'
object 0: size: 4
object 0: data: b'\xff\xff\xff\x7f'
object 0: hex : 0xffffff7f
object 0: int : 2147483647
object 0: uint: 2147483647
object 0: text: ....

另外,我们执行的指令数是39个。因为库函数的调用没有被识别出来。

加上libc的情况

下面我们给klee指令libc为前面我们编译的uclibc,命令行为:

klee --libc=uclibc file.bc

运行结果如下:

KLEE: NOTE: Using klee-uclibc : /workspace/xulun/github/ai/klee/build/Debug+Asserts/lib/klee-uclibc.bca
KLEE: output directory is "/workspace/xulun/github/libs/klee-out-38"
KLEE: Using STP solver backend
KLEE: WARNING: undefined reference to function: __syscall_rt_sigaction
KLEE: WARNING: undefined reference to function: close
KLEE: WARNING: undefined reference to function: fcntl
KLEE: WARNING: undefined reference to function: fstat
KLEE: WARNING: undefined reference to function: ioctl
KLEE: WARNING: undefined reference to function: lseek64
KLEE: WARNING: undefined reference to function: mkdir
KLEE: WARNING: undefined reference to function: open
KLEE: WARNING: undefined reference to function: open64
KLEE: WARNING: undefined reference to function: read
KLEE: WARNING: undefined reference to function: sigprocmask
KLEE: WARNING: undefined reference to function: stat
KLEE: WARNING: undefined reference to function: write
KLEE: WARNING: undefined reference to function: kill (UNSAFE)!
KLEE: WARNING: executable has module level assembly (ignoring)
KLEE: WARNING ONCE: calling external: ioctl(0, 21505, 94240056457072) at libc/termios/tcgetattr.c:43 12
KLEE: WARNING ONCE: calling __user_main with extra arguments.
KLEE: WARNING ONCE: Alignment of memory from call "malloc" is not modelled. Using alignment of 8.
KLEE: WARNING ONCE: calling external: open(94240043179840, 2, 438) at libc/stdio/_fopen.c:146 8
KLEE: ERROR: libc/stdio/_READ.c:47: external call with symbolic argument: read
KLEE: NOTE: now ignoring this error at this location

KLEE: done: total instructions = 12625
KLEE: done: completed paths = 3
KLEE: done: generated tests = 3

我们从日志中看到,虽然还是只生成3个用例,但是执行的指令数从之前的39个变成了现在的12625个。

导致libc调用分支不能被识别的原因是external call with symbolic argument: read,就是系统调用read没有被实现。

也就是说,光有libc库还不够,因为libc的实现依赖操作系统的调用。

增加对操作系统的建模

最终的终极大招,klee帮我们提供了一个符合posix标准的运行时,我们通过–posix-runtime参数来调用posix runtime。
我们看下效果,命令行如下:

klee --libc=uclibc --posix-runtime file.bc

运行结果如下:

KLEE: NOTE: Using POSIX model: /workspace/xulun/github/ai/klee/build/Debug+Asserts/lib/libkleeRuntimePOSIX.bca
KLEE: NOTE: Using klee-uclibc : /workspace/xulun/github/ai/klee/build/Debug+Asserts/lib/klee-uclibc.bca
KLEE: output directory is "/workspace/xulun/github/libs/klee-out-41"
KLEE: Using STP solver backend
KLEE: WARNING: executable has module level assembly (ignoring)
KLEE: WARNING ONCE: calling external: syscall(16, 0, 21505, 94333716546160) at runtime/POSIX/fd.c:1007 10
KLEE: WARNING ONCE: Alignment of memory from call "malloc" is not modelled. Using alignment of 8.
KLEE: WARNING ONCE: calling __klee_posix_wrapped_main with extra arguments.

KLEE: done: total instructions = 15619
KLEE: done: completed paths = 3
KLEE: done: generated tests = 3

我们看到,比起只有uclibc库时的12625条指令,现在指令数增加到15619个,而且对于posix系统调用也可以模拟了。

调用其它库

除了系统调用和libc,程序可能还用到了其它库。
没有关系,只要我们把相关库的llvm字节码通过-link-llvm-lib参数引入进来就好。link-llvm-lib参数可以使用多次,有一个库算一个就好。

例:

klee -link-llvm-lib=libhelper.so.bc -link-llvm-lib=libhelper2.so.bc test.bc
nmview.zip-so库函数签名查看工具.zip
12-23
nmview工具的工作原理是基于Linux系统下的nm命令,nm是一个标准的工具,用于列出可执行文件、对象文件或库文件中的符号信息。nmview是对nm命令的一个增强,它提供了一个友好的界面,使得查看解析SO库中的函数签名...
深入理解计算机系统配套实验解答学习笔记项目-计算机系统原理-汇编语言-C语言-操作系统-链接-缓存-虚拟内存-处理器体系结构-系统级编程-性能优化-网络安全-并发编程-Shell.zip
最新发布
09-08
在深入理解计算机系统的配套实验解答学习笔记项目中,我们面对的是计算机系统原理的核心组成部分,这包括但不限于汇编语言、C语言、操作系统、链接、缓存、虚拟内存、处理器体系结构、系统级编程、性能优化、网络...
安装Windows Lua5.1 x86|x64 开发环境(Windows & Lua & LuaRocks & msvc)
三枪八路的博客
10-04 6024
安装Windows Lua5.1 开发环境1. 二进制版本问题2.兼容安装原版x86 Lua5.13.重新编译安装x64 Lua5.13.1 环境 1. 二进制版本问题 通过LuaRocks安装的C-Module都是通过本地编译做成的dll,且依赖本地的C编译器,且链接的是本地的系统lua51.dll。 但是通过choco安装的lua5.1版本,或者安装官方提供的lua5.1二进制版本都是x86的,且依赖Visual Studio 2005。 目前我们大多数开发机都是Win10 x64 安装 Visual
网络性能测试工具iperf详细使用图文教程
weixin_34396103的博客
06-16 2681
Iperf是一个网络性能测试工具。Iperf可以测试TCPUDP带宽质量。Iperf可以测量最大TCP带宽,具有多种参数UDP特性。Iperf可以报告带宽,延迟抖动数据包丢失。利用Iperf这一特性,可以用来测试一些网络设备如路由器,防火墙,交换机等的性能。Iperf有两种版本,windows版linux版本。linux版本更新快,最新版本为iperf 3.0,下载...
接触Zynq不久,用iperf测试网络性能 出现这种情况是怎么回事呀?
weixin_42527786的博客
07-26 447
D:\V_code\ip>iperf – c 192.168.1.10 – p 5001 – i 5 – t 30 – w 2M iperf: ignoring extra argument -- – iperf: ignoring extra argument -- c iperf: ignoring extra argument -- 192.168.1.10 iperf: ignoring extra argument -- – iperf: ignoring extra argument -- p
网络性能测试之iperf的安装使用
weixin_33912453的博客
07-29 239
[root@server1 opt]# tar -xzvf iperf-2.0.4.tar.gz [root@server1 opt]# cd iperf-2.0.4[root@server1 iperf-2.0.4]# ./configure[root@server1 iperf-2.0.4]# make && make install同样分为服务端客户端...
qemu & qemu-system
11-15 5141
http://wiki.qemu-project.org/Download git clone git://git.qemu-project.org/qemu.git
2010-2011-1A操作系统试卷及答案.pdf
03-11
3. 操作系统提供给程序员的接口是系统调用库函数。系统调用是操作系统提供给程序员的接口,用于请求操作系统的服务,而库函数操作系统提供的一些预定义的函数,用于实现某些功能。 4. 进程从运行状态到阻塞状态...
STM32F103RT-Thread操作系统集成指南
图形用户界面是操作系统或应用程序中用于交互的视觉组件,使用户能够通过图形符号而不是纯文本命令来操作设备。RT-Thread支持图形界面的开发,通常会集成第三方图形库,如uCGUI或LittlevGL,允许开发者在嵌入式...
STM32通信外设的硬件抽象层:库函数HAL的交互艺术
[STM32通信外设的硬件抽象层:库函数HAL的交互艺术](https://img-blog.csdnimg.cn/20210526014326901.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0...
klee-uclibc:KLEE的uClibc版本
05-03
KLEE-uClibc 这是uClibc for KLEE的修改版。 请参阅自述文件以获取有关uClibc的信息。 要为KLEE构建uClibc,请执行以下操作: 确保llvm-config在您的PATH中(或使用--with-llvm-config )。 llvm-config使用的LLVM版本应您打算在步骤2中使用的C LLVM位码编译器使用的LLVM版本相匹配。 确保您具有以下C LLVM编译器之一 在LLVM工具目录( llvm-config --bindir )中内置的clang clang在你的PATH 将按照上面的顺序查找要使用的C编译器,并使用第一个可以使用的编译器。 请注意,您也可以通过使用CC环境变量或将--with-ccconfigure脚本一起使用来强制使用特定的C编译器。 运行配置脚本。 $ ./configure --make-llvm-l
LLVM相关、核心库
u011367210的博客
10-18 1912
#LLVM核心库 libLLVMCore:LLVM IR相关的逻辑:IR的构造(数据布局、指令、基础块、函数)IR检验器。也提供Pass 管理器 libLLVMCore: This contains all the logic related to the LLVM IR: IR construction (data layout, instructions, basic blocks, a...
Linux命令vi/awk/sed/grep/find/busybox/mount/df/du/ifconfig/ip/iperf/chmod/kill killall/adb
weixin_44697598的博客
08-17 538
本篇包括:vi/awk/sed/grep/find/busybox/mount/df/du/ifconfig/ip/iperf/chmod/kill killall/adb (1)vi 1 vi编辑器是所有Unix及Linux系统下标准的编辑器 基本上vi可以分为三种状态,分别是命令模式(command mode)、插入模式(Insert mode)底行模式(last line mode),各模式的功能区分如下: 命令行模式command mode) 控制屏幕光标的移动,字符、字或行的删除,移动复制某
iPerf图形化工具Jperf图文使用教程
蓝精灵的专栏
10-30 1万+
在前文介绍iPerf时,我们就提到了Jperf这款软件,因为iPerf没有图形界面,操作起来不是太方便,而Jperf则是将iPerf命令行图形化的JAVA程序,因此Jperf从某种程度上来说更受大家喜爱。 软件名称: Jperf 软件版本: 2.0 软件大小: 2.6MB 软件授权: 免费版本
网络带宽测试-iperf
wenwen1709的专栏
05-24 2834
什么是Iperf?     Iperf  是一个网络性能测试工具。Iperf可以测试TCPUDP带宽质量。Iperf可以测量最大TCP带宽,具有多种参数UDP特性。Iperf可以报告带宽,延迟抖动数据包丢失。 以下是实测结果: l  TCP n  测量网络带宽 n  报告MSS/MTU值的大小观测值 n  支持TCP窗口值通过套接字缓冲 n 
linux下syscall函数,SYS_gettid,SYS_tgkill
lx_shudong的专栏
05-15 3956
原文:http://blog.chinaunix.net/uid-28458801-id-4630215.html NAME               syscall - 间接系统调用 SYNOPSIS               #define _GNU_SOURCE                #include        #include           
【解决方法】extra argument in call
热门推荐
Bottle's Blog
10-20 6万+
环境: XCode6.0.1 问题: 今天敲代码遇到这样一个问题, extra argument 'forIndexPath' in call 代码中乍一看没什么问题,而且从这个错误提示中也看不出什么解决方法。 解决方法: 其实,出现这句话一定是代码有问题,要么是写法不符合这个版本的swift语法,要么是参数啊,什么的传递错了。 我今天就是因为参数传递的类型错了,但是没有报类型
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Jtag特工

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值