前言

在搞fuzz的时候发现了一个比较难以解决的问题。例如if(*buf == "\xde\xad\xbe\xef"),我们如果想通过纯fuzz去进入这个if的分支,那么概率极其微小。这就使我不得不去尝试通过一些其他的方法去解决这个问题。于是我想到了一个比较出名符号执行的工具————angr。这篇文章记录笔者入门angr的过程。

环境安装

angr 的安装

angr的安装非常简便,通过pip即可,不过貌似angr因为会依赖很多其他的库,所以它的创作者推荐把他装在虚拟环境当中,不过笔者就直接装在虚拟机里了。

pip3 install angr

学习环境安装

我这里用的是github上的一个项目对angr进行入门学习。

git clone https://github.com/jakespringer/angr_ctf.git

angr 基本使用方法

angr.Project

这是我们分析一个二进制文件的第一步,就是创建一个angr.Project类,我们的后续操作都将基于这个类展开。并且我们可以通过所创建的project获取二进制文件的一些基本信息。如:project.arch可以获得这个二进制文件的架构,project.entry可以获得这个二进制文件的起始地址,proj.filename获得这个二进制文件的名字。

例如:

import sys

import angr

bin_path = "./00_angr_find"

project = angr.Project(bin_path)

print(project.arch)

print(hex(project.entry))

print(project.filename)

结果:

<Arch X86 (LE)>

0x80490b0

./00_angr_find

project.factory

project.factory为我们提供了一些实用的类的构造器

project.factory.block(address)

angr是以基本块为单位进行的分析,project.factory.block(address)可以获得给定地址所在的基本块.pp()可以获得该基本块的汇编代码。

例如:

block = project.factory.block(project.entry)

block.pp()

结果:

         _start:

80490b0  endbr32

80490b4  xor     ebp, ebp

80490b6  pop     esi

80490b7  mov     ecx, esp

80490b9  and     esp, 0xfffffff0

80490bc  push    eax

80490bd  push    esp

80490be  push    edx

80490bf  call    0x80490e7
project.factory.entry_state()

project.factory.entry_state()用来获取一个程序的初始执行状态。

project.factory.blank_state(addr)

project.factory.blank_state(addr=...)用来获取一个程序从指定地址开始执行的空白状态。

state - 模拟执行状态

无论是project.factory.entry_state(),还是project.factory.blank_state(addr=...),都会返回一个模拟执行状态,我们可以把它存放到某个变量里,如存到state里。

state.regs

state.regs可以获取一些寄存器的值,如state.regs.esp即可获得esp的值。我们可以对其直接进行加减操作。

例如:

init_state = project.factory.entry_state()

print(init_state.regs.esp)

init_state.regs.esp-=12

print(init_state.regs.esp)

结果:

<BV32 0x7ffeffac>

<BV32 0x7ffeffa0>
state.memory

state.memory是访问内存接口的一种形式。state.memory.load(addr, size_in_bytes):获取该地址上指定大小的位向量。state.memory.store(addr, bitvector):将一个位向量存储到指定地址、

state.posix

state.posixPOSIX相关的环境接口,例如state.posix.dumps(fileno)获取对应文件描述符上的流。

simulation_manager - 模拟执行器

angr将一个状态的执行方法独立成一个SimulationManager类,有以下两种写法:

1、simgr = proj.factory.simgr(state)

2、simgr = proj.factory.simulation_manager(state)
simgr.step()

simgr.step():以基本块为单位的单步执行。

simgr.explore(find)

simgr.explore(find):路径探索,即执行到指定地址并进行约束求解,将执行完成的状态放在simgr.found列表中,若无法求解则该列表为空。

最新文章

  1. iOS 判断字符串是否为空
  2. java内存知识
  3. Linux 网络编程五(UDP协议)
  4. uml定义的使用的关系
  5. POJ 3691 AC自动机上的dp
  6. Portlet和servlet的区别
  7. [转]SharePoint 2010/2013 使用Javascript来判断权限的三种方法
  8. Hibernate查询之Example查询
  9. PowerShell_零基础自学课程_5_自定义PowerShell环境及Powershell中的基本概念
  10. Oracle EBS Web ADI 中的术语
  11. ActiveReports 9实战教程(2): 准备数据源(设计时、运行时)
  12. 《学习记录》ng2-bootstrap中的component使用教程
  13. C++ inline函数与编译器设置
  14. Re:Unity游戏开发有哪些让你拍案叫绝的技巧?
  15. Java中位运算符的使用
  16. 为什么样本方差分母是n-1
  17. The stacking context
  18. 转:npm安装教程
  19. CentOS服务器简单判断CC攻击的命令
  20. web api 多版本控制重要的两个类

热门文章

  1. 关于vlc"编解码器暂不支持: VLC 无法解码格式“MIDI” (MIDI Audio)"解决
  2. kubernetes数据持久化StorageClass动态供给(二)
  3. js-day05-对象
  4. python连接MySQL数据库实现(用户登录测试功能)pymysql
  5. 深入理解Whitelabel Error Page底层源码
  6. kestrel网络编程--开发Fiddler
  7. 关于ckPlayer 视频加密那些事
  8. windows7系统中安装deepin系统虚拟机
  9. 【AI编译器原理】系列来啦!我们要从入门到放弃!
  10. flutter2.x报错解决type (RouteSettings) =&gt; Route&lt;dynamic&gt; is not a subtype of type (RouteSettings) =&gt; Route&lt;dynemic&gt; of function result