2. 程式人生 > >angr原始碼分析——DFG 資料流圖

angr原始碼分析——DFG 資料流圖

阿新 發佈:2019-01-02

這篇文章主要講述,angr中資料流圖(Data Flow Gragh)的構建。

DFG恢復的是CFG中每個基本塊的資料流!
DFG為CFG的每個基本塊構建一個數據流圖(DFG)
DFG可以通過字典self.dfgs獲得,其中key的值為基本塊的地址,或DFG中的值。
param CFG:用於獲得所有基本塊的CFG

param annocfg:一個由向後片構建的註釋cfg,用於在白名單上構建DFG。

建構函式:

def __init__(self, cfg=None, annocfg=None):
        """
        Build a Data Flow Grah (DFG) for every basic block of a CFG
        The DFGs are available in the dict self.dfgs where the key
        is a basic block addr and the value a DFG.
        :param cfg: A CFG used to get all the basic blocks
        :param annocfg: An AnnotatedCFG built from a backward slice used to only build the DFG on the whitelisted statements
        """
        if cfg is None:
            self._cfg = self.project.analyses.CFGAccurate()
        else:
            self._cfg = cfg
        self._annocfg = annocfg

        self.dfgs = self._construct()

如果沒有cfg就構建cfg。

然後,呼叫_construct()函式構建DFG。這個函式,有點長,不過也是構造資料流的主要函式。下面開始分析吧。

def _construct(self):
        """
        We want to build the type of DFG that's used in "Automated Ident. of Crypto
        Primitives in Binary Code with Data Flow Graph Isomorphisms." Unlike that
        paper, however, we're building it on Vex IR instead of assembly instructions.
        """
        cfg = self._cfg
        p = self.project
        dfgs = {}
        l.debug("Building Vex DFG...")

        for node in cfg.nodes():#遍歷每個節點
            try:
                if node.simprocedure_name == None:
                    irsb = p.factory.block(node.addr).vex #根據節點獲得irsb
                else:
                    l.debug("Cannot process SimProcedures, ignoring %s" % node.simprocedure_name)
                    continue
            except Exception as e:
                l.debug(e)
                continue
            tmpsnodes = {}
            storesnodes = {}
            putsnodes = {}
            statements = irsb.statements #獲取irsb的所有語句
            dfg = DiGraph()

            for stmt_idx, stmt in enumerate(statements):#遍歷每條語句
                # We want to skip over certain types, such as Imarks
                if self._need_to_ignore(node.addr, stmt, stmt_idx):
                    continue

                # break statement down into sub-expressions
                exprs = stmt.expressions #獲得語句的子表示式
                stmt_node = stmt
                dfg.add_node(stmt)

                if stmt.tag == 'Ist_WrTmp':
                    tmpsnodes[stmt.tmp] = stmt_node
                    if exprs[0].tag == 'Iex_Binop':
                        if exprs[1].tag == 'Iex_RdTmp':
                            dfg.add_edge(tmpsnodes[exprs[1].tmp], stmt_node)
                        else:
                            dfg.add_edge(exprs[1], stmt_node)
                        if exprs[2].tag == 'Iex_RdTmp':
                            dfg.add_edge(tmpsnodes[exprs[2].tmp], stmt_node)
                        else:
                            dfg.add_edge(exprs[2], stmt_node)

                    elif exprs[0].tag == 'Iex_Unop':
                        dfg.remove_node(stmt_node)
                        if exprs[1].tag == 'Iex_RdTmp':
                            tmpsnodes[stmt.tmp] = copy(tmpsnodes[exprs[1].tmp])
                            tmpsnodes[stmt.tmp].tmp = stmt.tmp
                        else:
                            tmpsnodes[stmt.tmp] = exprs[1]

                    elif exprs[0].tag == 'Iex_RdTmp':
                        tmpsnodes[stmt.tmp] = copy(tmpsnodes[exprs[0].tmp])
                        tmpsnodes[stmt.tmp].tmp = stmt.tmp

                    elif exprs[0].tag == 'Iex_Get':
                        if putsnodes.has_key(exprs[0].offset):
                            dfg.add_edge(putsnodes[exprs[0].offset], stmt_node)
                        if len(exprs) > 1 and exprs[1].tag == "Iex_RdTmp":
                            dfg.add_edge(tmpsnodes[exprs[1].tmp], stmt_node)
                        elif len(exprs) > 1:
                            dfg.add_edge(exprs[1], stmt_node)

                    elif exprs[0].tag == 'Iex_Load':
                        if exprs[1].tag == 'Iex_RdTmp':
                            dfg.add_edge(tmpsnodes[exprs[1].tmp], stmt_node)
                        else:
                            dfg.add_edge(exprs[1], stmt_node)

                    else:
                        # Take a guess by assuming exprs[0] is the op and any other expressions are args
                        for e in exprs[1:]:
                            if e.tag == 'Iex_RdTmp':
                                dfg.add_edge(tmpsnodes[e.tmp], stmt_node)
                            else:
                                dfg.add_edge(e, stmt_node)

                elif stmt.tag == 'Ist_Store':
                    if exprs[0].tag == 'Iex_RdTmp':
                        dfg.add_edge(tmpsnodes[exprs[0].tmp], stmt_node)

                    elif exprs[0].tag == 'Iex_Const':
                        dfg.add_edge(exprs[0], stmt_node)

                    if exprs[1].tag == 'Iex_RdTmp':
                        dfg.add_edge(tmpsnodes[exprs[1].tmp], stmt_node)
                    else:
                        dfg.add_edge(exprs[1], stmt_node)

                elif stmt.tag == 'Ist_Put':
                    if exprs[0].tag == 'Iex_RdTmp':
                        dfg.add_edge(tmpsnodes[exprs[0].tmp], stmt_node)
                    elif exprs[0].tag == 'Iex_Const':
                        dfg.add_edge(exprs[0], stmt_node)
                    putsnodes[stmt.offset] = stmt_node

                elif stmt.tag == 'Ist_Exit':
                    if exprs[0].tag == 'Iex_RdTmp':
                        dfg.add_edge(tmpsnodes[exprs[0].tmp], stmt_node)

                elif stmt.tag == 'Ist_Dirty':
                    tmpsnodes[stmt.tmp] = stmt_node
                elif stmt.tag == 'Ist_CAS':
                    tmpsnodes[stmt.oldLo] = stmt_node

                else:
                    for e in stmt.expressions:
                        if e.tag == 'Iex_RdTmp':
                            dfg.add_edge(tmpsnodes[e.tmp], stmt_node)
                        else:
                            dfg.add_edge(e, stmt_node)

            for vtx in list(dfg.nodes()):
                if dfg.degree(vtx) == 0:
                    dfg.remove_node(vtx)

            if dfg.size() > 0:
                dfgs[node.addr] = dfg
        return dfgs

根據不同statements的型別,標記不同的點。

其實不僅可以用cfg來恢復資料流圖,任意的一個block都可以利用這個方法恢復資料流。

唯一的遺憾就是,恢復的資料流是block的,要想恢復函式間的資料流,就應該恢復資料依賴圖。

下面是我寫的恢復任意一個block的測試程式碼,當然呼叫仍然是construct函式。

def main():
    proj = angr.Project("test2.bin",load_options={'auto_load_libs':False})
    start_addr=0x1F065405
    start_state= proj.factory.blank_state(addr=start_addr)
    addrs=[start_addr]
    dfgs=constructDFG(addrs,proj)
    print len(dfgs)
    plot_common(dfgs[start_addr],"dfg_1F065405")

constructDFG只是對construct的一點更改

def constructDFG(addrs,project):
    dfgs={}
    for addr in addrs:
        irsb = project.factory.block(addr).vex
        if irsb is not None:
            tmpsnodes = {}
            storesnodes = {}
            putsnodes = {}
            statements = irsb.statements 
            dfg = DiGraph()

            for stmt_idx, stmt in enumerate(statements): 

                # break statement down into sub-expressions 
                exprs = stmt.expressions 
                stmt_node = stmt 
                dfg.add_node(stmt)

                if stmt.tag == 'Ist_WrTmp': 
                    tmpsnodes[stmt.tmp] = stmt_node 
                    if exprs[0].tag == 'Iex_Binop':
                        if exprs[1].tag == 'Iex_RdTmp':
                            dfg.add_edge(tmpsnodes[exprs[1].tmp], stmt_node)
                        else:
                            dfg.add_edge(exprs[1], stmt_node)
                        if exprs[2].tag == 'Iex_RdTmp':
                            dfg.add_edge(tmpsnodes[exprs[2].tmp], stmt_node)
                        else:
                            dfg.add_edge(exprs[2], stmt_node)

                    elif exprs[0].tag == 'Iex_Unop':
                        dfg.remove_node(stmt_node)
                        if exprs[1].tag == 'Iex_RdTmp':
                            tmpsnodes[stmt.tmp] = copy(tmpsnodes[exprs[1].tmp])
                            tmpsnodes[stmt.tmp].tmp = stmt.tmp
                        else:
                            tmpsnodes[stmt.tmp] = exprs[1]

                    elif exprs[0].tag == 'Iex_RdTmp':
                        tmpsnodes[stmt.tmp] = copy(tmpsnodes[exprs[0].tmp])
                        tmpsnodes[stmt.tmp].tmp = stmt.tmp

                    elif exprs[0].tag == 'Iex_Get':
                        if putsnodes.has_key(exprs[0].offset):
                            dfg.add_edge(putsnodes[exprs[0].offset], stmt_node)
                        if len(exprs) > 1 and exprs[1].tag == "Iex_RdTmp":
                            dfg.add_edge(tmpsnodes[exprs[1].tmp], stmt_node)
                        elif len(exprs) > 1:
                            dfg.add_edge(exprs[1], stmt_node)

                    elif exprs[0].tag == 'Iex_Load':
                        if exprs[1].tag == 'Iex_RdTmp':
                            dfg.add_edge(tmpsnodes[exprs[1].tmp], stmt_node)
                        else:
                            dfg.add_edge(exprs[1], stmt_node)

                    else:
                        # Take a guess by assuming exprs[0] is the op and any other expressions are args
                        for e in exprs[1:]:
                            if e.tag == 'Iex_RdTmp':
                                dfg.add_edge(tmpsnodes[e.tmp], stmt_node)
                            else:
                                dfg.add_edge(e, stmt_node)

                elif stmt.tag == 'Ist_Store':
                    if exprs[0].tag == 'Iex_RdTmp':
                        dfg.add_edge(tmpsnodes[exprs[0].tmp], stmt_node)

                    elif exprs[0].tag == 'Iex_Const':
                        dfg.add_edge(exprs[0], stmt_node)

                    if exprs[1].tag == 'Iex_RdTmp':
                        dfg.add_edge(tmpsnodes[exprs[1].tmp], stmt_node)
                    else:
                        dfg.add_edge(exprs[1], stmt_node)

                elif stmt.tag == 'Ist_Put':
                    if exprs[0].tag == 'Iex_RdTmp':
                        dfg.add_edge(tmpsnodes[exprs[0].tmp], stmt_node)
                    elif exprs[0].tag == 'Iex_Const':
                        dfg.add_edge(exprs[0], stmt_node)
                    putsnodes[stmt.offset] = stmt_node

                elif stmt.tag == 'Ist_Exit':
                    if exprs[0].tag == 'Iex_RdTmp':
                        dfg.add_edge(tmpsnodes[exprs[0].tmp], stmt_node)

                elif stmt.tag == 'Ist_Dirty':
                    tmpsnodes[stmt.tmp] = stmt_node
                elif stmt.tag == 'Ist_CAS':
                    tmpsnodes[stmt.oldLo] = stmt_node

                else:
                    for e in stmt.expressions:
                        if e.tag == 'Iex_RdTmp':
                            dfg.add_edge(tmpsnodes[e.tmp], stmt_node)
                        else:
                            dfg.add_edge(e, stmt_node)

            for vtx in list(dfg.nodes()):
                if dfg.degree(vtx) == 0:
                    dfg.remove_node(vtx)

            if dfg.size() > 0:
                dfgs[addr] = dfg
        return dfgs

最終畫出的圖為:


相關推薦

angr原始碼分析——DFG 資料

這篇文章主要講述,angr中資料流圖(Data Flow Gragh)的構建。 DFG恢復的是CFG中每個基本塊的資料流!DFG為CFG的每個基本塊構建一個數據流圖(DFG)DFG可以通過字典self.dfgs獲得,其中key的值為基本塊的地址,或DFG中的值。param CFG:用於獲得所有基本

需求分析資料

    以前眼力的軟體工程,雖然重要,但是卻一直不太瞭解其用處到底有多大。現在開始漸漸接觸大工程了,才開始真正體驗到軟體工程的威力。    沒有好的需求分析,軟體等於白做;沒有好的系統設計,做了也要重做。在大型軟體中,人的因素越來越大,遠遠超過技術的因素。    比如,一些ERP系統的實施成敗並不是因為軟體是

angr原始碼分析——CFGFast 快速構建控制

有時我們需要對一個二進位制檔案做一個全面的分析,然而使用CFGAccurate一般都需要提供一個start_state作為起始的狀態點進行分析,這就導致分析並不全面。為了獲得一個高程式碼覆蓋率的CFG,我們可以使用CFGFast。下面分析一下CFGFast的原始碼,瞭解其恢復原理,然後進行自己的改進

可行性分析資料

可行性分析資料流圖 汪玄真(20160402018)    王華(20160402047)   基本設計概念:實現火車票的查詢和預訂。 處理流程:根據可行性報告的研究和客戶的需求,分析現有情況及問題,採用B/S結構,將火車票查詢預訂系統劃主要就是服務端子系統。本系

油田採油生產業務建模之資料實踐(EA使用入門)

  資料流圖(Data Flow Diagram):簡稱DFD,是從資料傳遞、儲存和處理的角度,以圖形方式來表達系統資料相關的邏輯功能、資料在系統內部的邏輯流向和邏輯變換過程,是結構化系統分析方法的主要表達工具,以及用於表示軟體模型的一種圖示方法。   資料流圖強調的是資料流和處理過

兄弟連區塊鏈教程Fabric1.0原始碼分析ledgerID資料

1、idStore概述 Fabric支援建立多個Ledger,不同Ledger以ledgerID區分。 多個ledgerID及其創世區塊儲存在idStore資料庫中,idStore資料庫基於leveldb實現。 idStore預設使用路徑:/var/hyperledger/production

資料的銷售管理系統

一.某個企業銷售管理系統的功能為 (1)接受顧客的訂單,檢驗訂單,若庫存有貨,進行供貨處理,即修改庫存,給倉庫開備貨單,並且將訂單留底;若庫存量不足,將訂貨單登入缺貨記錄。 (2)根據缺貨記錄進行缺貨登記,將缺貨通知單發給採貨部門,以便採購。 (3)根據採購部門發來的進貨通知單處理

區塊鏈入門教程以太坊原始碼分析交易資料分析eth

交易的資料結構 交易的資料結構定義在core.types.transaction.go中,結構如下: type Transaction struct { data txdata // caches hash atomic.Value size atomic.Value from atomic.Value

《軟體設計師》——資料

下午第一題就是資料流圖(DFD),15分。   資料流圖的基本概念 資料字典 資料平衡原則   考查點一般是補充外部實體、補充資料儲存、補充資料流、資料流可能出現的問題等。             &

Shrio原始碼分析(4) - 資料域(Realm)

本文在於分析Shiro原始碼,對於新學習的朋友可以參考 [開濤部落格](http://jinnianshilongnian.iteye.com/blog/2018398)進行學習。 本篇主要分析Shiro中的Realm介面。Shiro使用Realm介面作為外部資料來源,主要處

軟體工程--資料資料字典

資料流圖 資料流圖(Data Flow Diagram):簡稱DFD,它從資料傳遞和加工角度,以圖形方式來表達系統的邏輯功能、資料在系統內部的邏輯流向和邏輯變換過程,是結構化系統分析方法的主要表達工具及用於表示軟體模型的一種圖示方法。 基本的圖形符號: 加工中常用的關係符號表示

tensorflow-資料彙總及執行次數(tf.summary)

#!/usr/bin/env python2 # -*- coding: utf-8 -*- """ Created on Thu Sep 6 10:16:37 2018 @author: myhaspl @email:[email protected] """ import tensorfl

資料及實踐

1、資料流圖 1.1 資料流圖的定義 描述系統的邏輯模型,只描述資料流在系統中流動和處理的情況,是邏輯系統的圖形表示。 1.2資料流圖的符號 1.3 資料流圖的4種組成成分 資料來源點或資料終點 資料處理:每個資料處理都有一個名字,要對其進行編號,名字中必須含一個動詞 資料儲存:指向資料儲存

UML資料(帶作業)

資料流圖(Data Flow Diagram):簡稱DFD,它從資料傳遞和加工角度,以圖形方式來表達系統的邏輯功能、資料在系統內部的邏輯流向和邏輯變換過程,是結構化系統分析方法的主要表達工具及用於表示軟體模型的一種圖示方法。(百科) 談談我的一點理解 有時候我們要開發

資料概述與應用

資料流圖(DFD)概述 資料流圖(DFD,Data Flow Diagram)是軟體工程結構化分析模型中的一種功能模型,用來描述系統中的資料處理過程。資料流圖服務於兩個目的:一是指明資料在系統中移動時如何被變換,二是描述對資料流進行變換的功能和子功能。 1. 資料流圖符號

資料的執行——Session

1.Tensorflow Session Session類負責資料流圖的執行,構造方法tf.Session()接收3個可選引數: target引數——指定了所要使用的執行引擎,預設為空字串。 graph引數——指定了將要在Session物件中載入的graph物件

資料筆記

1.資料流圖 資料流圖由兩個基本構件(節點和邊)組成。 (1)節點(node) 在資料流圖的語境中,節點通常以圓圈、橢圓和方框表示,代表了對資料所做的運算或某種操作。 (2)邊(edge) 對應於向Operation傳入和從Operation傳出的實際數值,通常

資料(DFD)

資料流圖(DFD)     資料流圖,簡稱DFD,是結構化分析方法SA方法中用於表示系統邏輯模型的一種工具,它以圖形的方式描繪資料在系統中流動和處理的過程,由於它只反映系統必須完成的邏輯功能,所以它是一種功能模型。 下圖是一個飛機機票預訂系統的資料流圖,它反映

概念----資料(DFD),

資料流圖(date flow diagram , DFD),是SA方法中用於表示系統邏輯模型的一種工具,它以圖形的方式描繪資料在系統中流動和處理的過程,由於它只反映系統必須完成的邏輯功能,所以它是一種功能模型。 資料流圖是從資料的角度來描述一個系統的,而流程圖則是從對資料加工的角度來描述系統的;資料流

一站式學習Wireshark(十):應用Wireshark顯示過濾器分析特定資料(下)

在這個資訊爆炸的時代,人們已然被大量、快速並且簡短的資訊所包圍。然而,我們相信:過多“快餐”式的閱讀只會令人“虛胖”,缺乏實質的內涵。伯樂線上內容團隊正試圖以我們微薄的力量,把優秀的原創文章和譯文分享給讀者,為“快餐”新增一些“營養”元素。