intel强力分析工具Pin的使用入门(1)
Pin是intel公司推出的一款动态二进制分析框架,可以用于构建强大的动态程序分析工具。比如CPM$im模拟器就是基于Pin开发的。Intel为了封锁技术,并没有让Pin开源,
但是提供了其编译版本供使用,用户可以以外挂的形式扩展自定义的分析函数。
本文内容来自Pin的官方用户手册http://software.intel.com/sites/landingpage/pintool/docs/54730/Pin/html/,所有代码经过测试可以运行在X86_64、Red Hat 4.1.2-44 SMP版本上。如有任何疑问欢迎发送邮件到[email protected]进行讨论。希望可以跟大家一起学习和进步。
Pin简单来说就是在可执行二进制代码中插入一些探测函数,用于观察、记录、分析等。通过Pin提供的API可以编写各种分析函数,这样程序运行完以后,统计和分析结果也同时产生。
从前面给出的站点下载Pin工具,按README说明编译系统默认提供的tools工具(source/tools/*Examples下的程序)。这些程序也叫pintool,他们是分析的实体。一个pintool程序往往包括两部分:
1.在何处进行分析
2.如何分析
在Pin框架下一个进程运行时,真正的运行代码包括三个部分:进程本身的二进制、Pin框架code、pintool code。
下面以一个基本的例子快速进入Pin的使用中。
目标1:想知道一个helloworld程序实际上执行多少条机器指令。
需要一个helloworld程序,一个pintool程序用于计数,于是可以
pin -t $PINTOOL -- $HELLOWORLD让我逐行分析计数的pintool程序:
static UINT64 icount = 0; 定义一个计数器全局变量。
VOID docount() { icount++; }
VOID Instruction(INS ins, VOID *v)
{
INS_InsertCall(ins, IPOINT_BEFORE, (AFUNPTR)docount, IARG_END);
} 定义一个计数函数,并插入到每条指令执行之前。
其中INS_InsertCall的第一个参数是要观测的指令,
第二个参数是观测的时刻:before,after,branch
第三个参数是观测用的回调函数
后面的参数是可变的参数列表,用于传入回调函数
(未完待续)
另外码农小店请支持哦~http://deepdiscuz.taobao.com/