Flyour
Flyour

【DynamoRIO 入门教程】五:modxfer.c

一、功能说明

统计模块之间转移指令的个数。强调是通过 indirect branches,不过我到现在都还没有明白 间接转移是什么意思。

二、主要数据结构 和 配套函数

typedef struct _module_array_t {
    app_pc base;
    app_pc end;
    bool loaded;
    module_data_t *info;
} module_array_t;
/* the last slot is where all non-module address go */
static module_array_t mod_array[MAX_NUM_MODULES];

mod_array 数组用来存储有关模块的信息,base 是模块基址,end 是模块结束地址,loaded用来表示是否加载,当一个模块被卸载时,会被设为 false。

static bool
module_data_same(const module_data_t *d1, const module_data_t *d2)
{
    if (d1->start == d2->start && d1->end == d2->end &&
        d1->entry_point == d2->entry_point &&
#ifdef WINDOWS
        d1->checksum == d2->checksum && d1->timestamp == d2->timestamp &&
#endif
        /* treat two modules w/ no name (there are some) as different */
		dr_module_preferred_name(d1) != NULL && dr_module_preferred_name(d2) != NULL &&
        strcmp(dr_module_preferred_name(d1), dr_module_preferred_name(d2)) == 0)
			return true;
    return false;
}

该函数用来判断两个 模块是否相同。
module_data_t是 DR 定义的一个结构体,可以在这里看http://dynamorio.org/docs/struct__module__data__t.html

三、DR主体函数

1、dr_client_main()

DR_EXPORT void
dr_client_main(client_id_t id, int argc, const char *argv[])
{
    /* We need no drreg slots ourselves, but we initialize drreg as we call * drreg_restore_app_values(), required since drx_insert_counter_update() * uses drreg when drmgr is used. */
    drreg_options_t ops = { sizeof(ops) };
    if (!drmgr_init() || drreg_init(&ops) != DRREG_SUCCESS)
        DR_ASSERT(false);
    drx_init();
    /* register events */
    dr_register_exit_event(event_exit);
    if (!drmgr_register_bb_instrumentation_event(event_analyze_bb,
                                                 event_insert_instrumentation, NULL))
        DR_ASSERT(false);
    drmgr_register_module_load_event(event_module_load);
    drmgr_register_module_unload_event(event_module_unload);

    mod_lock = dr_mutex_create();

    logfile = log_file_open(id, NULL /* drcontext */, NULL /* path */, "modxfer",
#ifndef WINDOWS
                            DR_FILE_CLOSE_ON_FORK |
#endif
                                DR_FILE_ALLOW_LARGE);

    DR_ASSERT(logfile != INVALID_FILE);
}

开头就对 drreg 进行了初始化,注释里说了原因(因为 drx_insert_counter_update()),不过我们后面具体再说

经过初始化后,注册了 5个回调函数:
进程结束回调: event_exit
模块加载回调: event_module_load
模块卸载回调: evnet_module_unload
还有用drmgr_register_bb_instrumentation_event 注册的两个回调函数,注册了第二第三阶段。

mod_lock 是互斥锁。
log_file_open () 则是 utils.c 里封装的函数,用来创建一个日志文件。

2、event_module_load()

static void
event_module_load(void *drcontext, const module_data_t *info, bool loaded)
{
    int i;
    dr_mutex_lock(mod_lock);
    for (i = 0; i < num_mods; i++) {
        /* check if it is the same as any unloaded module */
        if (!mod_array[i].loaded && module_data_same(mod_array[i].info, info)) {
            mod_array[i].loaded = true;
            break;
        }
    }
    if (i == num_mods) {
        /* new module */
        mod_array[i].base = info->start;
        mod_array[i].end = info->end;
        mod_array[i].loaded = true;
        mod_array[i].info = dr_copy_module_data(info);
        num_mods++;
    }
    DR_ASSERT(num_mods < UNKNOW_MODULE_IDX);
    dr_mutex_unlock(mod_lock);

开头先加锁。
mod_array 是存放moduld信息的一个数组。
num_mods 则是module的数目。

第一个for循环,遍历module 数组,并利用 module_data_same 函数来判断新 加载的module 是否已经在 module array 里。如果找到,则将数组中该节点的 loaded 属性设为 true。 如果遍历完找不到或者说 module array 一开始就是空的,则将新节点的信息设置为 新加载 的模块。

3、event_module_unload()

static void
event_module_unload(void *drcontext, const module_data_t *info)
{
    int i;
    dr_mutex_lock(mod_lock);
    for (i = 0; i < num_mods; i++) {
        if (mod_array[i].loaded && module_data_same(mod_array[i].info, info)) {
            /* Some module might be repeatedly loaded and unloaded, so instead * of clearing out the array entry, we keep the data for possible * reuse. */
            mod_array[i].loaded = false;
            break;
        }
    }
    DR_ASSERT(i < num_mods);
    dr_mutex_unlock(mod_lock);
}

先上锁,遍历 module array 数组,如果找到节点信息和 要卸载的模块信息相同。则将该节点的 loaded 属性设置为 false 。
然后解锁。

4、event_analyze_bb()

/* This event is passed the instruction list for the whole bb. */
static dr_emit_flags_t
event_analyze_bb(void *drcontext, void *tag, instrlist_t *bb, bool for_trace,
                 bool translating, void **user_data)
{
    /* Count the instructions and pass the result to event_insert_instrumentation. */
    instr_t *instr;
    uint num_instrs;
    for (instr = instrlist_first_app(bb), num_instrs = 0; instr != NULL;
         instr = instr_get_next_app(instr)) {
        num_instrs++;
    }
    *(uint *)user_data = num_instrs;
    return DR_EMIT_DEFAULT;
}

注意一下,我们说drmgr 将 basic block event 分成了四个阶段,第2个是 分析阶段, 第3个是 插入阶段。 分析是针对整个代码段的,也就是说 一个 basic block 可能只会调用 event_analyze_bb 一次,但是每个指令都会调用一次 event_insert_instrumentation(插入回调)。
另外原文档里是说: analysis of the full application code (after any changes from its original form)
不过我不太明白这里所说的 改变 指的是什么。

回到这段代码,遍历一个 basic block 里的所有指令,统计当前基本快 的指令数,并将结果存储在 user_data 里。

关于 user_data ,原文档里说: The user_data parameter can be used to pass data from this stage to the third stage。
看来这个参数就是专门用来在第二第三阶段之间传递数据的。
但是当我看到 *(uint *)user_data = num_instrs 时,我一度对我的 c语言水平产生了怀疑。这不是个双重指针吗,括号里面的不是指针的强制转换吗,为什么把一个双重指针当作 一重指针用呢?
别慌,接着看后面。

5、event_insert_instrumentation()

/* This event is called separately for each individual instruction in the bb. */
static dr_emit_flags_t
event_insert_instrumentation(void *drcontext, void *tag, instrlist_t *bb, instr_t *instr,
                             bool for_trace, bool translating, void *user_data)
{
    if (drmgr_is_first_instr(drcontext, instr)) {
        uint num_instrs = (uint)(ptr_uint_t)user_data;
        int i;
        app_pc bb_addr = dr_fragment_app_pc(tag);
        for (i = 0; i < num_mods; i++) {
            if (mod_array[i].loaded && mod_array[i].base <= bb_addr &&
                mod_array[i].end > bb_addr)
                break;
        }
        if (i == num_mods)
            i = UNKNOW_MODULE_IDX;
        /* We pass SPILL_SLOT_MAX+1 as drx will use drreg for spilling. */
        drx_insert_counter_update(drcontext, bb, instr, SPILL_SLOT_MAX + 1,
                                  (void *)&mod_cnt[i], num_instrs, DRX_COUNTER_64BIT);
        drx_insert_counter_update(drcontext, bb, instr, SPILL_SLOT_MAX + 1,
                                  (void *)&ins_count, num_instrs, DRX_COUNTER_64BIT);
    }

    if (instr_is_mbr(instr) && !instr_is_return(instr)) {
        /* Assuming most of the transfers between modules are paired, we * instrument indirect branches but not returns for better performance. * We assume that most cross module transfers happens via indirect * branches. * Direct branch with DGC or self-modify may also cross modules, but * it should be ok to ignore, and we can handle them more efficiently. */
        /* dr_insert_mbr_instrumentation is going to read app values, so we need a * drreg lazy restore "barrier" here. */
        drreg_status_t res =
            drreg_restore_app_values(drcontext, bb, instr, instr_get_target(instr), NULL);
        DR_ASSERT(res == DRREG_SUCCESS || res == DRREG_ERROR_NO_APP_VALUE);
        dr_insert_mbr_instrumentation(drcontext, bb, instr, (void *)mbr_update,
                                      SPILL_SLOT_1);
    }

    return DR_EMIT_DEFAULT;
}

看到了吗,第三阶段注册 的 回调函数里 参数 user_data 是个一重指针。我方了。
查查文档,两个函数类型的参数信息如下:


typedef dr_emit_flags_t(* drmgr_analysis_cb_t) (void *drcontext, void *tag, 
												instrlist_t *bb,
												bool for_trace,
												bool translating, 
												OUT void **user_data)

typedef dr_emit_flags_t(* drmgr_insertion_cb_t) (void *drcontext, void *tag, 
												 instrlist_t *bb,
												 instr_t *inst,
												 bool for_trace,
												 bool translating, 
												 void *user_data)

所以用一个指针去保存32bit 数据有什么优点吗?难道说是因为可以保存各种类型的数据?

回到函数本身。
第一个if 代码段,判断当前指令是否是 basic block 的第一条代码。
如果是,则读取出 user_data 里的数据,也就是前面我们所说的basic block 里的指令数。(不过关于user_data 的读写操作我也是醉了,先不管它了,文档里也找不到 ptr_uint_t 的信息。)
然后利用 dr_fragment_app_pc 获取这个段的起始地址,与各个模块地址范围进行比较,用 i 来标记当前basic block 属于哪个模块,如果都不属于,就定为 UNKNOW_MODULE_IDX。

然后使用 drx_insert_counter_update() 插入计数指令。这个函数的作用是插入一条指令,这条指令的作用是: 将第6个参数 加到 第5个参数指向的内容上。这样的话,以后每执行到这个 basic block 就会执行一次该指令,也就是 加一次 num_instrs。这样就可以统计一共执行了多少次指令(ins_count),和 每个模块分别 执行了多少次指令(mod_cnt)。

这里我们就要好好说道说道 drx_insert_counter_update(),文档里的描述是这样的:


DR_EXPORT bool drx_insert_counter_update (  void * drcontext,
										    instrlist_t * ilist,
											instr_t * where,
											dr_spill_slot_t slot,
											IF_NOT_X86_(dr_spill_slot_t slot2) void * addr,
											int value,
											uint flags 
											)

Inserts into ilist prior to where meta-instruction(s) to add the constant value to the counter located at addr

When used with drmgr, this routine uses the drreg extension. It must be called from drmgr’s insertion phase. The drreg extension will be used to spill the arithmetic flags and any scratch registers needed. It is up to the caller to ensure that enough spill slots are available, through drreg’s initialization. The slot and slot2 parameters must be set to SPILL_SLOT_MAX+1.

When used without drmgr, the spill slot slot is used for storing arithmetic flags or a scratch register if necessary. The spill slot slot2 is used only on ARM for spilling a second scratch register.

正如文档里所说,该函数会添加指令进行 加法操作。如果有加法操作,那可能就会对算出标志位产生影响。这样的话,我们就需要用 drreg 扩展完成 寄存器溢出操作,所谓溢出就是换个位置保存该寄存器里的 原始应用程序值,方便后面我们使用该寄存器。

这就是我们使用 drreg 的原因,但是我们在使用 drreg_init() 初始化 drreg时,并没有设置 插槽的数量,这和文档里所说“ It is up to the caller to ensure that enough spill slots are available, through drreg’s initialization.” 好像有些不符,是我理解错了吗?

回到函数,我们再看第2各 if代码段:if (instr_is_mbr(instr) && !instr_is_return(instr))
这里限定了 instr 是一个 mbr 指令,并且不是 return 指令。所谓 mbr指令,文档里这样说:instr is a multi-way (indirect) branch: OP_jmp_ind, OP_call_ind, OP_ret, OP_jmp_far_ind, OP_call_far_ind, OP_ret_far, or OP_iret on x86; OP_bx, OP_bxj, OP_blx_ind, or any instruction with a destination register operand of DR_REG_PC on ARM。

然后使用了 drreg_restore_app_values 来恢复之前溢出的原始应用程序值。
然后调用 dr_insert_mbr_instrumentation 来再mbr指令之前插入指令 调用 mbr_update 函数。

那么问题来了,为什么要使用 drreg_restore_app_values 来恢复寄存器里的值呢?如果不恢复会怎么样?
关于drreg 的的功能 大家可以看这篇博客里的 drreg 部分:https://blog.csdn.net/m0_37921080/article/details/88029035

drreg 会自动实现寄存器的溢出保护,比如这里的drx_insert_counter_update() ,寄存器会自动对标志寄存器进行溢出,也就是说把该寄存器里的值取出来放在另外一个位置,从而进行保护。

drreg 有一个惰性恢复策略,当对一个寄存器进行溢出后,drreg 假设只有 应用程序指令 会对该寄存器进行访问,并且不到 应用程序读取该寄存器的时候,不进行寄存器恢复,哪怕客户端已经不需要这个寄存器了。确实很懒。这里的恢复指的是 DR自动调用 drreg_get_app_value() 进行恢复。

那么如果我们插入的元指令 也对这个寄存器 原应用程序值 进行了读操作呢?这个时候就需要我们手动调用 drreg_restore_app_values() 或者 drreg_get_app_value() 来进行恢复了。

而 dr_insert_mbr_instrumentation() 插入的指令就可能会对寄存器进行读操作,所以在其之前用了一个 drreg_restore_app_values() 来恢复。

但是对于drreg_restore_app_values() 恢复了哪些寄存器我还是有些疑问。

接下来看 mbr_update() 到底进行了什么操作。

6、mbr_update()

/* Simple clean calls with two arguments will not be inlined, but the context * switch can be optimized for better performance. */
static void
mbr_update(app_pc instr_addr, app_pc target_addr)
{
    int i, j;
    /* XXX: this can be optimized by walking a tree instead */
    /* find the source module */
    for (i = 0; i < num_mods; i++) {
        if (mod_array[i].loaded && mod_array[i].base <= instr_addr &&
            mod_array[i].end > instr_addr)
            break;
    }
    /* if cannot find a module, put it to the last */
    if (i == num_mods)
        i = UNKNOW_MODULE_IDX;
    /* find the target module */
    /* quick check if it is the same module */
    if (i < UNKNOW_MODULE_IDX && mod_array[i].base <= target_addr &&
        mod_array[i].end > target_addr) {
        j = i;
    } else {
        for (j = 0; j < num_mods; j++) {
            if (mod_array[j].loaded && mod_array[j].base <= target_addr &&
                mod_array[j].end > target_addr)
                break;
        }
        /* if cannot find a module, put it to the last */
        if (j == num_mods)
            j = UNKNOW_MODULE_IDX;
    }
    /* this is a racy update, but should be ok to be a few number off */
    xfer_cnt[i][j]++;
}

代码很简单,该函数的两个参数是由 dr_insert_mbr_instrumentation 传进来的,是 mbr指令的 地址 和 跳转目标的地址。

这个函数就是判断mbr 指令所在的模块 和 目标地址所在的模块,并记录在 xfer_cnt 二维数组里。

7、event_exit()

static void
event_exit(void)
{
    int i;
    char msg[512];
    int len;
    int j;
    uint64 xmod_xfer = 0;
    uint64 self_xfer = 0;
    for (i = 0; i < num_mods; i++) {
        dr_fprintf(logfile, "module %3d: %s\n", i,
                   dr_module_preferred_name(mod_array[i].info) == NULL
                       ? ""
                       : dr_module_preferred_name(mod_array[i].info));
        dr_fprintf(logfile, "%20llu instruction executed\n", mod_cnt[i]);
    }
    if (mod_cnt[UNKNOW_MODULE_IDX] != 0) {
        dr_fprintf(logfile, "unknown modules:\n%20llu instruction executed\n",
                   mod_cnt[UNKNOW_MODULE_IDX]);
    }
    for (i = 0; i < MAX_NUM_MODULES; i++) {
        for (j = 0; j < num_mods; j++) {
            if (xfer_cnt[i][j] != 0) {
                dr_fprintf(logfile, "mod %3d => mod %3d: %8u\n", i, j, xfer_cnt[i][j]);
                if (i == j)
                    self_xfer += xfer_cnt[i][j];
                else
                    xmod_xfer += xfer_cnt[i][j];
            }
        }
    }
    len = dr_snprintf(msg, sizeof(msg) / sizeof(msg[0]),
                      "Instrumentation results:\n"
                      "\t%10llu instructions executed\n"
                      "\t%10llu (%2.3f%%) cross module indirect branches\n"
                      "\t%10llu (%2.3f%%) intra-module indirect branches\n",
                      ins_count, xmod_xfer, 100 * (float)xmod_xfer / ins_count, self_xfer,
                      100 * (float)self_xfer / ins_count);
    DR_ASSERT(len > 0);
    NULL_TERMINATE_BUFFER(msg);

    dr_fprintf(logfile, "%s\n", msg);
    dr_mutex_lock(mod_lock);
    for (i = 0; i < num_mods; i++) {
        DR_ASSERT(mod_array[i].info != NULL);
        dr_free_module_data(mod_array[i].info);
    }
    dr_mutex_unlock(mod_lock);
    dr_mutex_destroy(mod_lock);
    log_file_close(logfile);
    drx_exit();
    if (!drmgr_unregister_bb_instrumentation_event(event_analyze_bb) ||
        !drmgr_unregister_module_load_event(event_module_load) ||
        !drmgr_unregister_module_unload_event(event_module_unload) ||
        drreg_exit() != DRREG_SUCCESS)
        DR_ASSERT(false);
    drmgr_exit();
}

exit 回调函数,
这个就不说了,一堆打印,回收,解注册的代码。

四、总结

本例子中涉及到的东西较多,有drreg 的使用,有模块的信息结构 module_data_t 。
例子可以分为两部分:
一部分是 通过 模块加载/卸载事件 来实现对模块信息的记录。
另一部分是 在 basic block 开头插入计数指令,统计代码执行次数; 在 mbr指令之前插入 clean call,判断跳转指令是从哪个模块 跳到哪个模块。

源码:


#include "utils.h"
#include "drmgr.h"
#include "drreg.h"
#include "drx.h"
#include 

#define MAX_NUM_MODULES 0x1000
#define UNKNOW_MODULE_IDX (MAX_NUM_MODULES - 1)

typedef struct _module_array_t {
    app_pc base;
    app_pc end;
    bool loaded;
    module_data_t *info;
} module_array_t;
/* the last slot is where all non-module address go */
static module_array_t mod_array[MAX_NUM_MODULES];

static uint64 ins_count; /* number of instructions executed in total */
static void *mod_lock;
static int num_mods;
static uint xfer_cnt[MAX_NUM_MODULES][MAX_NUM_MODULES];
static uint64 mod_cnt[MAX_NUM_MODULES];
static file_t logfile;

static bool
module_data_same(const module_data_t *d1, const module_data_t *d2)
{
    if (d1->start == d2->start && d1->end == d2->end &&
        d1->entry_point == d2->entry_point &&
#ifdef WINDOWS
        d1->checksum == d2->checksum && d1->timestamp == d2->timestamp &&
#endif
        /* treat two modules w/ no name (there are some) as different */
		dr_module_preferred_name(d1) != NULL && dr_module_preferred_name(d2) != NULL &&
        strcmp(dr_module_preferred_name(d1), dr_module_preferred_name(d2)) == 0)
			return true;
    return false;
}

/* Simple clean calls with two arguments will not be inlined, but the context * switch can be optimized for better performance. */
static void
mbr_update(app_pc instr_addr, app_pc target_addr)
{
    int i, j;
    /* XXX: this can be optimized by walking a tree instead */
    /* find the source module */
    for (i = 0; i < num_mods; i++) {
        if (mod_array[i].loaded && mod_array[i].base <= instr_addr &&
            mod_array[i].end > instr_addr)
            break;
    }
    /* if cannot find a module, put it to the last */
    if (i == num_mods)
        i = UNKNOW_MODULE_IDX;
    /* find the target module */
    /* quick check if it is the same module */
    if (i < UNKNOW_MODULE_IDX && mod_array[i].base <= target_addr &&
        mod_array[i].end > target_addr) {
        j = i;
    } else {
        for (j = 0; j < num_mods; j++) {
            if (mod_array[j].loaded && mod_array[j].base <= target_addr &&
                mod_array[j].end > target_addr)
                break;
        }
        /* if cannot find a module, put it to the last */
        if (j == num_mods)
            j = UNKNOW_MODULE_IDX;
    }
    /* this is a racy update, but should be ok to be a few number off */
    xfer_cnt[i][j]++;
}

static void
event_exit(void);

static dr_emit_flags_t
event_analyze_bb(void *drcontext, void *tag, instrlist_t *bb, bool for_trace,
                 bool translating, void **user_data);

static dr_emit_flags_t
event_insert_instrumentation(void *drcontext, void *tag, instrlist_t *bb, instr_t *instr,
                             bool for_trace, bool translating, void *user_data);

static void
event_module_load(void *drcontext, const module_data_t *info, bool loaded);

static void
event_module_unload(void *drcontext, const module_data_t *info);

DR_EXPORT void
dr_client_main(client_id_t id, int argc, const char *argv[])
{
    /* We need no drreg slots ourselves, but we initialize drreg as we call * drreg_restore_app_values(), required since drx_insert_counter_update() * uses drreg when drmgr is used. */
    drreg_options_t ops = { sizeof(ops) };
    if (!drmgr_init() || drreg_init(&ops) != DRREG_SUCCESS)
        DR_ASSERT(false);
    drx_init();
    /* register events */
    dr_register_exit_event(event_exit);
    if (!drmgr_register_bb_instrumentation_event(event_analyze_bb,
                                                 event_insert_instrumentation, NULL))
        DR_ASSERT(false);
    drmgr_register_module_load_event(event_module_load);
    drmgr_register_module_unload_event(event_module_unload);

    mod_lock = dr_mutex_create();

    logfile = log_file_open(id, NULL /* drcontext */, NULL /* path */, "modxfer",
#ifndef WINDOWS
                            DR_FILE_CLOSE_ON_FORK |
#endif
                                DR_FILE_ALLOW_LARGE);

    DR_ASSERT(logfile != INVALID_FILE);
}

static void
event_exit(void)
{
    int i;
    char msg[512];
    int len;
    int j;
    uint64 xmod_xfer = 0;
    uint64 self_xfer = 0;
    for (i = 0; i < num_mods; i++) {
        dr_fprintf(logfile, "module %3d: %s\n", i,
                   dr_module_preferred_name(mod_array[i].info) == NULL
                       ? ""
                       : dr_module_preferred_name(mod_array[i].info));
        dr_fprintf(logfile, "%20llu instruction executed\n", mod_cnt[i]);
    }
    if (mod_cnt[UNKNOW_MODULE_IDX] != 0) {
        dr_fprintf(logfile, "unknown modules:\n%20llu instruction executed\n",
                   mod_cnt[UNKNOW_MODULE_IDX]);
    }
    for (i = 0; i < MAX_NUM_MODULES; i++) {
        for (j = 0; j < num_mods; j++) {
            if (xfer_cnt[i][j] != 0) {
                dr_fprintf(logfile, "mod %3d => mod %3d: %8u\n", i, j, xfer_cnt[i][j]);
                if (i == j)
                    self_xfer += xfer_cnt[i][j];
                else
                    xmod_xfer += xfer_cnt[i][j];
            }
        }
    }
    len = dr_snprintf(msg, sizeof(msg) / sizeof(msg[0]),
                      "Instrumentation results:\n"
                      "\t%10llu instructions executed\n"
                      "\t%10llu (%2.3f%%) cross module indirect branches\n"
                      "\t%10llu (%2.3f%%) intra-module indirect branches\n",
                      ins_count, xmod_xfer, 100 * (float)xmod_xfer / ins_count, self_xfer,
                      100 * (float)self_xfer / ins_count);
    DR_ASSERT(len > 0);
    NULL_TERMINATE_BUFFER(msg);

    DISPLAY_STRING(msg);

    dr_fprintf(logfile, "%s\n", msg);
    dr_mutex_lock(mod_lock);
    for (i = 0; i < num_mods; i++) {
        DR_ASSERT(mod_array[i].info != NULL);
        dr_free_module_data(mod_array[i].info);
    }
    dr_mutex_unlock(mod_lock);
    dr_mutex_destroy(mod_lock);
    log_file_close(logfile);
    drx_exit();
    if (!drmgr_unregister_bb_instrumentation_event(event_analyze_bb) ||
        !drmgr_unregister_module_load_event(event_module_load) ||
        !drmgr_unregister_module_unload_event(event_module_unload) ||
        drreg_exit() != DRREG_SUCCESS)
        DR_ASSERT(false);
    drmgr_exit();
}

/* This event is passed the instruction list for the whole bb. */
static dr_emit_flags_t
event_analyze_bb(void *drcontext, void *tag, instrlist_t *bb, bool for_trace,
                 bool translating, void **user_data)
{
    /* Count the instructions and pass the result to event_insert_instrumentation. */
    instr_t *instr;
    uint num_instrs;
    for (instr = instrlist_first_app(bb), num_instrs = 0; instr != NULL;
         instr = instr_get_next_app(instr)) {
        num_instrs++;
    }
    *(uint *)user_data = num_instrs;
    return DR_EMIT_DEFAULT;
}

/* This event is called separately for each individual instruction in the bb. */
static dr_emit_flags_t
event_insert_instrumentation(void *drcontext, void *tag, instrlist_t *bb, instr_t *instr,
                             bool for_trace, bool translating, void *user_data)
{
    if (drmgr_is_first_instr(drcontext, instr)) {
        uint num_instrs = (uint)(ptr_uint_t)user_data;
        int i;
        app_pc bb_addr = dr_fragment_app_pc(tag);
        for (i = 0; i < num_mods; i++) {
            if (mod_array[i].loaded && mod_array[i].base <= bb_addr &&
                mod_array[i].end > bb_addr)
                break;
        }
        if (i == num_mods)
            i = UNKNOW_MODULE_IDX;
        /* We pass SPILL_SLOT_MAX+1 as drx will use drreg for spilling. */
        drx_insert_counter_update(drcontext, bb, instr, SPILL_SLOT_MAX + 1,
                                  (void *)&mod_cnt[i], num_instrs, DRX_COUNTER_64BIT);
        drx_insert_counter_update(drcontext, bb, instr, SPILL_SLOT_MAX + 1,
                                  (void *)&ins_count, num_instrs, DRX_COUNTER_64BIT);
    }

    if (instr_is_mbr(instr) && !instr_is_return(instr)) {
        /* Assuming most of the transfers between modules are paired, we * instrument indirect branches but not returns for better performance. * We assume that most cross module transfers happens via indirect * branches. * Direct branch with DGC or self-modify may also cross modules, but * it should be ok to ignore, and we can handle them more efficiently. */
        /* dr_insert_mbr_instrumentation is going to read app values, so we need a * drreg lazy restore "barrier" here. */
        drreg_status_t res =
            drreg_restore_app_values(drcontext, bb, instr, instr_get_target(instr), NULL);
        DR_ASSERT(res == DRREG_SUCCESS || res == DRREG_ERROR_NO_APP_VALUE);
        dr_insert_mbr_instrumentation(drcontext, bb, instr, (void *)mbr_update,
                                      SPILL_SLOT_1);
    }

    return DR_EMIT_DEFAULT;
}

static void
event_module_load(void *drcontext, const module_data_t *info, bool loaded)
{
    int i;
    dr_mutex_lock(mod_lock);
    for (i = 0; i < num_mods; i++) {
        /* check if it is the same as any unloaded module */
        if (!mod_array[i].loaded && module_data_same(mod_array[i].info, info)) {
            mod_array[i].loaded = true;
            break;
        }
    }
    if (i == num_mods) {
        /* new module */
        mod_array[i].base = info->start;
        mod_array[i].end = info->end;
        mod_array[i].loaded = true;
        mod_array[i].info = dr_copy_module_data(info);
        num_mods++;
    }
    DR_ASSERT(num_mods < UNKNOW_MODULE_IDX);
    dr_mutex_unlock(mod_lock);
}

static void
event_module_unload(void *drcontext, const module_data_t *info)
{
    int i;
    dr_mutex_lock(mod_lock);
    for (i = 0; i < num_mods; i++) {
        if (mod_array[i].loaded && module_data_same(mod_array[i].info, info)) {
            /* Some module might be repeatedly loaded and unloaded, so instead * of clearing out the array entry, we keep the data for possible * reuse. */
            mod_array[i].loaded = false;
            break;
        }
    }
    DR_ASSERT(i < num_mods);
    dr_mutex_unlock(mod_lock);
}

你可能感兴趣的:(DynamoRIO)

  • 动态二进制插桩的原理和基本实现过程(Pin/DynamoRIO/Frida) woswod 漏洞挖掘插桩pinfridaDynamoRIO
    英文原文全文http://deniable.org/reversing/binary-instrumentation译转自https://www.4hou.com/binary/13026.html和https://www.4hou.com/binary/13116.html翻译并不全感谢翻译作者luochicun目录前言PinDynamoRIOFrida前言动态二进制插桩(dynamicbina
  • 2020年IDA插件大赛:DynDataResolver夺冠 riusksk python编程语言javalinuxjs
    今年IDA官方举办的插件开发比赛,结果已经出炉,前三名分别为:DynDataResolverLucid与grapefiXplorer01DynDataResolver项目地址:https://github.com/Cisco-Talos/DynDataResolverDynDataResolver简称DDR,由Cisco安全团队成员开发,使用DynamoRIO框架进行二进制插桩,帮助从运行的软件中
  • DynamoRIO工作原理 网络安全研发随想 动态二进制分析
    DynamoRIO架构==============下图描述了DynamoRIO设计架构:下图展示了DynamoRIO的各个组件是如何运转的:2.指令缓存(Codecache)DynamoRIO是一个进程级别的emulation软件,工作在应用和操作系统之间。通过codecaching,linking和tracebuilding提高了emulation的效率。DynamoRIO运行的代码和应用程序本
  • winafl初体验 CR-Box 漏洞挖掘
    一、winafl概述winafl就是afl的Windows版本。AFL想必研究fuzz的是不陌生的,但afl并不支持Windows平台,所以就有大神把afl移植到了windows平台,就是winafl了。afl借助编译时插桩和遗传算法实现其功能,由于平台支持的关系,在winafll中该编译时插桩被替换成了DynamoRIO动态插桩,此外还基于WindowsAPI对相关函数进行了重写。所以winaf
  • Valgrind学习 weixin_34194359
    Valgrind与其他DBI(Pin,DynamoRIO)的区别我们需要了解DBI的几个D&RDisassemble-and-Resynthesise反汇编后重新组装Valgrind采用这种方式,将Client中的代码全部翻译成IR,然后在IR级别进行instrument,最后将IR翻译成机器代码执行。如果Client中的一段代码被翻译成IR,那么原来的nativecode就不再存在了,以后也不会
  • Pin 架构 stonesharp 杂类
    1.使用Pin进行instrumentationPin提供的API可以让我们观察一个进程的状态,比如:内存、寄存器和控制流。Pin还提供了一些更改程序行为的机制,比如:允许重写程序的寄存器和内存。(DynamoRIO的理念是尽量不影响原程序的执行)Pin通过一个just-in-time(JIT)compiler来实现instrumentation。这个compiler的输入不是bytecode,而
  • 程序运行时Trace: DynamoRIO Small_Pond 工具笔记
    1.程序运行时Trace,DynamoRIO最近在做一个trace程序执行路径的项目,了解到DynamoRIO可以实现这个功能,在此记录学习以下。首先,DynamoRIO是什么:DynamoRIO是一个运行时代码控制系统(runtimecodemanipulationsystem),支持程序运行时对程序的任一部分进行修改。DynamoRIOexportsaninterfaceforbuilding
  • A11_FU33_Summary 0xM2R0oT
    AFL——支持源码插桩的代码覆盖引导的Fuzzer,绝对是fuzzer领域的一大里程碑,虽然它也支持基于QEMU的闭源程序,但效果不好,且容易出错,由它衍生出来非常多afl分支版本,借助它已经被挖出非常多的漏洞,但它的变异策略其实有待提高。http://lcamtuf.coredump.cx/afl/WinAFL——windows版本的afl,使用DynamoRIO去插桩闭源程序以获取代码覆盖率信
  • 插桩工具 Alex0Young
    DynamoRIO:设计架构:组件运转流程:DynamoRIO框架在操作系统和应用程序之间,构成一个中间层。在该中间层中DynamoRIO将CPU的寄存器做一份完整的镜像,并以此为被测程序构造出一份虚拟的上下文。在DynamoRIO框架下运行着的程序都会使用这份模拟出来的运行时上下文,同时通过DynamoRIO中的上下文切换模块代码即被投入运行之前在真实的宿主机上恢复出原本被虚拟的上下文。Dyna
  • 【DynamoRIO 入门教程】六:inline.c Flyour DynamoRIO
    一、功能说明执行优化,使用自定义跟踪API将整个callees内联到跟踪中。这句话什么意思,应用程序里会有call指令,通过该指令进入子函数后,又会通过return指令返回。我们要做的优化就是将从call到return的过程内联(存放)到一个自定义trace中。二、主要数据结构和配套函数typedefstruct_hashtable_t{ hash_entry_t**table; hash_typ
  • 【DynamoRIO 入门教程】五:modxfer.c Flyour DynamoRIO
    一、功能说明统计模块之间转移指令的个数。强调是通过indirectbranches,不过我到现在都还没有明白间接转移是什么意思。二、主要数据结构和配套函数typedefstruct_module_array_t{ app_pcbase; app_pcend; boolloaded; module_data_t*info; }module_array_t; /*thelastslotiswherea
  • 【DynamoRIO 入门教程】四: inc2add.c Flyour DynamoRIO
    例子中的注释写到:执行动态优化,在不干扰目标应用程序行为的情况下,只要有价值和可行,就将“inc”指令转换为“add1”。说明在已知底层处理器时最好的做法是在运行时执行微体系结构特定优化。可见这个例子和上一个div.c的区别就是这次我们实实在在进行了代码替换和优化。老规矩,先看dr_client_mainDR_EXPORTvoid dr_client_main(client_id_tid,inta
  • DynamoRIO 系列三:List of Samples -- 示例的功能 chengyu779394084
    可以通过如下代码来实际运行,查看所得的结果更好的理解每个示例的作用。drrun.exe–cC:\1\DynamoRIO-Windows-6.0.0-6\build\bin\***.dll--notepad每个示例功能如下:bbbuf.c:怎么利用TLS对每个线程基本块配置分析。bbcount.c:执行插桩性能,报告动态执行中所有基本块的数量。bbsize.c:收集目标程序的所有基本块的长度的统计信
  • DynamoRIO 系列二: 实例小测 chengyu779394084
    平台准备:win732-bite亲测64-bite的运行不了,折腾了半天还是改了32的系统工具准备:cmake32-bitehttps://cmake.org/download/DynamoRIOhttps://github.com/DynamoRIO/dynamorio/wiki/DownloadsVS2013这个不用多说,自行下载安装,当时装的时候老是出问题,要设配IE10才能正常安装,注意下
  • DynamoRIO 系列一: Windows Deployment chengyu779394084
    WindowsDeployment在Windows下配置DynamoRIO来源:http://dynamorio.org/docs/page_deploy.htmlTherearetwomethodsforrunningaprocessunderDynamoRIO:theone-timeconfigure-and-run,andthetwo-stepseparateconfigurationand
  • dynamorio简介 igorzhang
    dynamorio是Google上的一个开源项目:http://code.google.com/p/dynamorio/。与valgrind类似,dynamorio也是一个动态二进制插桩/翻译平台。通过dynamorio,你可以操控一个程序的运行代码(runtimecode),即它可以模拟运行一个程序,并允许你对运行代码的任何地方进行变形和控制。dynamorio用于对程序进行动态分析、优化和翻译
  • 一些杂的网站 大熊猫
    http://www.mydigit.net/http://www.immsky.com/http://www.jdwx.info/thread-30291-1-1.htmlhttp://dynamorio.googlecode.com/svn-history/trunk/http://www.deepin.org/home.phphttp://user.qzone.qq.com/47032075
  • java线程Thread和Runnable区别和联系 zx_code javajvmthread多线程Runnable
    我们都晓得java实现线程2种方式,一个是继承Thread,另一个是实现Runnable。 模拟窗口买票,第一例子继承thread,代码如下 package thread; public class ThreadTest { public static void main(String[] args) { Thread1 t1 = new Thread1(
  • 【转】JSON与XML的区别比较 丁_新 jsonxml
    1.定义介绍 (1).XML定义 扩展标记语言 (Extensible Markup Language, XML) ,用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 XML使用DTD(document type definition)文档类型定义来组织数据;格式统一,跨平台和语言,早已成为业界公认的标准。 XML是标
  • c++ 实现五种基础的排序算法 CrazyMizzz C++c算法
    #include<iostream> using namespace std; //辅助函数,交换两数之值 template<class T> void mySwap(T &x, T &y){ T temp = x; x = y; y = temp; } const int size = 10; //一、用直接插入排
  • 我的软件 麦田的设计者 我的软件音乐类娱乐放松
         这是我写的一款app软件,耗时三个月,是一个根据央视节目开门大吉改变的,提供音调,猜歌曲名。1、手机拥有者在android手机市场下载本APP,同意权限,安装到手机上。2、游客初次进入时会有引导页面提醒用户注册。(同时软件自动播放背景音乐)。3、用户登录到主页后,会有五个模块。a、点击不胫而走,用户得到开门大吉首页部分新闻,点击进入有新闻详情。b、
  • linux awk命令详解 被触发 linux awk
    awk是行处理器: 相比较屏幕处理的优点,在处理庞大文件时不会出现内存溢出或是处理缓慢的问题,通常用来格式化文本信息 awk处理过程: 依次对每一行进行处理,然后输出 awk命令形式: awk [-F|-f|-v] ‘BEGIN{} //{command1; command2} END{}’ file [-F|-f|-v]大参数,-F指定分隔符,-f调用脚本,-v定义变量 var=val
  • 各种语言比较 _wy_ 编程语言
                        Java Ruby PHP 擅长领域                  
  • oracle 中数据类型为clob的编辑 知了ing oracle clob
    public void updateKpiStatus(String kpiStatus,String taskId){ Connection dbc=null; Statement stmt=null; PreparedStatement ps=null; try { dbc = new DBConn().getNewConnection(); //stmt = db
  • 分布式服务框架 Zookeeper -- 管理分布式环境中的数据 矮蛋蛋 zookeeper
    原文地址: http://www.ibm.com/developerworks/cn/opensource/os-cn-zookeeper/ 安装和配置详解 本文介绍的 Zookeeper 是以 3.2.2 这个稳定版本为基础,最新的版本可以通过官网 http://hadoop.apache.org/zookeeper/来获取,Zookeeper 的安装非常简单,下面将从单机模式和集群模式两
  • tomcat数据源 alafqq tomcat
    数据库 JNDI(Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名和目录服务的API。 没有使用JNDI时我用要这样连接数据库: 03.  Class.forName("com.mysql.jdbc.Driver");  04.  conn
  • 遍历的方法 百合不是茶 遍历
                                                          遍历 在java的泛
  • linux查看硬件信息的命令 bijian1013 linux
    linux查看硬件信息的命令 一.查看CPU: cat /proc/cpuinfo   二.查看内存: free   三.查看硬盘: df   linux下查看硬件信息 1、lspci 列出所有PCI 设备; lspci - list all PCI devices:列出机器中的PCI设备(声卡、显卡、Modem、网卡、USB、主板集成设备也能
  • java常见的ClassNotFoundException bijian1013 java
    1.java.lang.ClassNotFoundException: org.apache.commons.logging.LogFactory   添加包common-logging.jar2.java.lang.ClassNotFoundException: javax.transaction.Synchronization    
  • 【Gson五】日期对象的序列化和反序列化 bit1129 反序列化
    对日期类型的数据进行序列化和反序列化时,需要考虑如下问题:   1. 序列化时,Date对象序列化的字符串日期格式如何 2. 反序列化时,把日期字符串序列化为Date对象,也需要考虑日期格式问题 3. Date A -> str -> Date B,A和B对象是否equals   默认序列化和反序列化     import com
  • 【Spark八十六】Spark Streaming之DStream vs. InputDStream bit1129 Stream
      1. DStream的类说明文档:   /** * A Discretized Stream (DStream), the basic abstraction in Spark Streaming, is a continuous * sequence of RDDs (of the same type) representing a continuous st
  • 通过nginx获取header信息 ronin47 nginx header
    1. 提取整个的Cookies内容到一个变量,然后可以在需要时引用,比如记录到日志里面, if ( $http_cookie ~* "(.*)$") {         set $all_cookie $1; }     变量$all_cookie就获得了cookie的值,可以用于运算了
  • java-65.输入数字n,按顺序输出从1最大的n位10进制数。比如输入3,则输出1、2、3一直到最大的3位数即999 bylijinnan java
    参考了网上的http://blog.csdn.net/peasking_dd/article/details/6342984 写了个java版的: public class Print_1_To_NDigit { /** * Q65.输入数字n,按顺序输出从1最大的n位10进制数。比如输入3,则输出1、2、3一直到最大的3位数即999 * 1.使用字符串
  • Netty源码学习-ReplayingDecoder bylijinnan javanetty
    ReplayingDecoder是FrameDecoder的子类,不熟悉FrameDecoder的,可以先看看 http://bylijinnan.iteye.com/blog/1982618 API说,ReplayingDecoder简化了操作,比如: FrameDecoder在decode时,需要判断数据是否接收完全: public class IntegerH
  • js特殊字符过滤 cngolon js特殊字符js特殊字符过滤
    1.js中用正则表达式 过滤特殊字符, 校验所有输入域是否含有特殊符号function stripscript(s) {    var pattern = new RegExp("[`~!@#$^&*()=|{}':;',\\[\\].<>/?~!@#¥……&*()&mdash;—|{}【】‘;:”“'。,、?]"
  • hibernate使用sql查询 ctrain Hibernate
    import java.util.Iterator; import java.util.List; import java.util.Map; import org.hibernate.Hibernate; import org.hibernate.SQLQuery; import org.hibernate.Session; import org.hibernate.Transa
  • linux shell脚本中切换用户执行命令方法 daizj linuxshell命令切换用户
    经常在写shell脚本时,会碰到要以另外一个用户来执行相关命令,其方法简单记下:   1、执行单个命令:su - user -c "command" 如:下面命令是以test用户在/data目录下创建test123目录 [root@slave19 /data]# su - test -c "mkdir /data/test123" 
  • 好的代码里只要一个 return 语句 dcj3sjt126com return
    别再这样写了:public boolean foo() {    if (true) {         return true;     } else {          return false;    
  • Android动画效果学习 dcj3sjt126com android
    1、透明动画效果 方法一:代码实现 public View onCreateView(LayoutInflater inflater, ViewGroup container, Bundle savedInstanceState) { View rootView = inflater.inflate(R.layout.fragment_main, container, fals
  • linux复习笔记之bash shell (4)管道命令 eksliang linux管道命令汇总linux管道命令linux常用管道命令
    转载请出自出处: http://eksliang.iteye.com/blog/2105461     bash命令执行的完毕以后,通常这个命令都会有返回结果,怎么对这个返回的结果做一些操作呢?那就得用管道命令‘|’。     上面那段话,简单说了下管道命令的作用,那什么事管道命令呢?     答:非常的经典的一句话,记住了,何为管
  • Android系统中自定义按键的短按、双击、长按事件 gqdy365 android
    在项目中碰到这样的问题: 由于系统中的按键在底层做了重新定义或者新增了按键,此时需要在APP层对按键事件(keyevent)做分解处理,模拟Android系统做法,把keyevent分解成: 1、单击事件:就是普通key的单击; 2、双击事件:500ms内同一按键单击两次; 3、长按事件:同一按键长按超过1000ms(系统中长按事件为500ms); 4、组合按键:两个以上按键同时按住;
  • asp.net获取站点根目录下子目录的名称 hvt .netC#asp.nethovertreeWeb Forms
    使用Visual Studio建立一个.aspx文件(Web Forms),例如hovertree.aspx,在页面上加入一个ListBox代码如下: <asp:ListBox runat="server" ID="lbKeleyiFolder" />   那么在页面上显示根目录子文件夹的代码如下: string[] m_sub
  • Eclipse程序员要掌握的常用快捷键 justjavac javaeclipse快捷键ide
      判断一个人的编程水平,就看他用键盘多,还是鼠标多。用键盘一是为了输入代码(当然了,也包括注释),再有就是熟练使用快捷键。   曾有人在豆瓣评 《卓有成效的程序员》:“人有多大懒,才有多大闲”。之前我整理了一个 程序员图书列表,目的也就是通过读书,让程序员变懒。  写道 程序员作为特殊的群体,有的人可以这么懒,懒到事情都交给机器去做,而有的人又可
  • c++编程随记 lx.asymmetric C++笔记
     为了字体更好看,改变了格式……   &&运算符:   #include<iostream> using namespace std; int main(){      int a=-1,b=4,k;      k=(++a<0)&&!(b--
  • linux标准IO缓冲机制研究 音频数据 linux
    一、什么是缓存I/O(Buffered I/O)缓存I/O又被称作标准I/O,大多数文件系统默认I/O操作都是缓存I/O。在Linux的缓存I/O机制中,操作系统会将I/O的数据缓存在文件系统的页缓存(page cache)中,也就是说,数据会先被拷贝到操作系统内核的缓冲区中,然后才会从操作系统内核的缓冲区拷贝到应用程序的地址空间。1.缓存I/O有以下优点:A.缓存I/O使用了操作系统内核缓冲区,
  • 随想 生活 暗黑小菠萝 生活
    其实账户之前就申请了,但是决定要自己更新一些东西看也是最近。从毕业到现在已经一年了。没有进步是假的,但是有多大的进步可能只有我自己知道。   毕业的时候班里12个女生,真正最后做到软件开发的只要两个包括我,PS:我不是说测试不好。当时因为考研完全放弃找工作,考研失败,我想这只是我的借口。那个时候才想到为什么大学的时候不能好好的学习技术,增强自己的实战能力,以至于后来找工作比较费劲。我
  • 我认为POJO是一个错误的概念 windshome javaPOJO编程J2EE设计
                  这篇内容其实没有经过太多的深思熟虑,只是个人一时的感觉。从个人风格上来讲,我倾向简单质朴的设计开发理念;从方法论上,我更加倾向自顶向下的设计;从做事情的目标上来看,我追求质量优先,更愿意使用较为保守和稳妥的理念和方法。    &
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他