最近在学习angr,里面有用到vex ir,之前对vex ir不了解,打算系统学习一遍。
1.code blocks:
代码被分割成很多小的代码片段(类型为'IRSB'),每个块表示1~50条指令。IRSB块是单入口,多出口。每个IRSB包含以下三种数据:
2.statements and expression
Statements(‘IRStmt'):代表有着副作用的操作,eg. 寄存器写,存储和分配给临时变量。
Expressiongs('IRExpr') :代表着没有副作用的操作,eg,算术运算,加载,常量
3.storage of guest state
“guest state”包含guest machine(即我们正在模拟的机器)的guest寄存器。默认情况下,它存储在VEX库用户提供的内存块中,通常称guest state(area)。要对这些寄存器进行操作,必须首先将它们从guest state读取(“Get”)为一个临时值。之后,可以将它们写回("put") guest state。
Get和Put的特征是进入guest状态的字节偏移量、一个有效给出被引用guest寄存器标识的小整数和一个指示要传输的值大小的类型。
基本的“Get”和“Put”操作足以对guest 上的正常固定寄存器建模。guest stated 的选定区域可以视为寄存器的循环数组(类型:“IRRegArray”),可以在运行时对其进行索引。这是用“GetI”和“PutI”原语完成的。这是描述旋转寄存器文件所必需的,例如x87 FPU堆栈、SPARC寄存器窗口和Itanium寄存器文件。
4.例子:考虑如下x86指令
可能的IR代码如下
IMark只是IR声明,不代表实际的指令,指明了代码的地址0x24f275,原始指令的长度7,数字0和12偏移到%eax和%ebx的guest state。(这里的0代表%eax吧)
本例中的五个 statements 是:
VEX ir 类型定义
一个常量,存储为带标记的联合体,tag 表示这是一个什么样的常数Ico是一个union,它控制着各个领域。如果 IRConst'c' 的c.tag等于Ico_U32,则它是32位常量,其值可以使用'c.Ico.U32'访问
7.call targets
描述要调用的帮助函数。名字部分纯粹是为了漂亮的打印而不是实际使用。regparms=n告诉后端被调用方已被声明为“__attribute__(regparm(n))”,尽管间接使用VEX_REGPARM(n)宏。在某些目标(x86)上,后端需要构造一个非标准序列来调用这样声明的函数。
mcx_mask 是一种记忆检查的标准。它指出在计算结果的定义时,哪些参数应该被视为“总是定义的”。mcx_mask的位0对应于args[0],位1对应于args[1]等。如果设置了位,则从定义性检查中排除相应的arg(因此“mcx”中的“x”)。
它们的含义在下面的IRExpr注释中解释。存储为标记的联合。 “标签”指示这是一种表达。 “ Iex”是持有字段的联合。 如果IRExpr'e'具有等于Iex_Load的e.tag,则它是一个负载表达式,并且可以使用'e.Iex.Load。<fieldname>'访问这些字段。
Memory Bus Events
Compare and Swap
basic block
类型环境:一堆语句、表达式等都是不完整的,没有一个环境指示每个IRTemp的类型。所以这就提供了一个。IR临时变量实际上只是无符号整数,因此它提供一个数组0。。n_类型使用-1个。
本片文章主要参考angr官方文档:
简介:
1.code blocks:
代码被分割成很多小的代码片段(类型为'IRSB'),每个块表示1~50条指令。IRSB块是单入口,多出口。每个IRSB包含以下三种数据:
- -a type enviroment, 它指示IRSB中存在的每个临时值的类型。
- -a list of statement, 表示对应的代码
- -a jump that exits from the end the IRSB:退出IRSB
2.statements and expression
Statements(‘IRStmt'):代表有着副作用的操作,eg. 寄存器写,存储和分配给临时变量。
Expressiongs('IRExpr') :代表着没有副作用的操作,eg,算术运算,加载,常量
3.storage of guest state
“guest state”包含guest machine(即我们正在模拟的机器)的guest寄存器。默认情况下,它存储在VEX库用户提供的内存块中,通常称guest state(area)。要对这些寄存器进行操作,必须首先将它们从guest state读取(“Get”)为一个临时值。之后,可以将它们写回("put") guest state。
Get和Put的特征是进入guest状态的字节偏移量、一个有效给出被引用guest寄存器标识的小整数和一个指示要传输的值大小的类型。
基本的“Get”和“Put”操作足以对guest 上的正常固定寄存器建模。guest stated 的选定区域可以视为寄存器的循环数组(类型:“IRRegArray”),可以在运行时对其进行索引。这是用“GetI”和“PutI”原语完成的。这是描述旋转寄存器文件所必需的,例如x87 FPU堆栈、SPARC寄存器窗口和Itanium寄存器文件。
4.例子:考虑如下x86指令
可能的IR代码如下
1 2 3 4 5 | ------ IMark(0x24F275, 7, 0) ------
t3 = GET:I32(0) # get %eax, a 32-bit integer
t2 = GET:I32(12) # get %ebx, a 32-bit integer
t1 = Add32(t3,t2) # addl
PUT(0) = t1 # put %eax
|
IMark只是IR声明,不代表实际的指令,指明了代码的地址0x24f275,原始指令的长度7,数字0和12偏移到%eax和%ebx的guest state。(这里的0代表%eax吧)
本例中的五个 statements 是:
1 2 3 4 5 6 7 8 | addl %edx,4(%eax)
------ IMark(0x4000ABA, 3, 0) ------
t3 = Add32(GET:I32(0),0x4:I32)
t2 = LDle:I32(t3)
t1 = GET:I32(8)
t0 = Add32(t2,t1)
STle(t3) = t0
“LDle"和"STle"中的'le'是'little-endian'的缩写
|
1 2 3 4 5 | ------ IMark(0x24F275, 7, 0) ------
t3 = GET:I32(0) # get %eax, a 32-bit integer
t2 = GET:I32(12) # get %ebx, a 32-bit integer
t1 = Add32(t3,t2) # addl
PUT(0) = t1 # put %eax
|
IMark只是IR声明,不代表实际的指令,指明了代码的地址0x24f275,原始指令的长度7,数字0和12偏移到%eax和%ebx的guest state。(这里的0代表%eax吧)
本例中的五个 statements 是:
1 2 3 4 5 6 7 8 | addl %edx,4(%eax)
------ IMark(0x4000ABA, 3, 0) ------
t3 = Add32(GET:I32(0),0x4:I32)
t2 = LDle:I32(t3)
t1 = GET:I32(8)
t0 = Add32(t2,t1)
STle(t3) = t0
“LDle"和"STle"中的'le'是'little-endian'的缩写
|
1 2 3 4 5 6 7 8 | addl %edx,4(%eax)
------ IMark(0x4000ABA, 3, 0) ------
t3 = Add32(GET:I32(0),0x4:I32)
t2 = LDle:I32(t3)
t1 = GET:I32(8)
t0 = Add32(t2,t1)
STle(t3) = t0
“LDle"和"STle"中的'le'是'little-endian'的缩写
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 | typedef
enum {
Ity_INVALID=0x1100,
Ity_I1,
Ity_I8,
Ity_I16,
Ity_I32,
Ity_I64,
Ity_I128,
Ity_F16,
Ity_F32,
Ity_F64,
Ity_D32,
Ity_D64,
Ity_D128,
Ity_F128,
Ity_V128,
Ity_V256
}
IRType;
extern void ppIRType ( IRType );
extern Int sizeofIRType ( IRType );
extern IRType integerIRTypeOfSize ( Int szB );
IREndness用于加载IRExprs和存储IRStmts。
typedef
enum {
Iend_LE=0x1200,
Iend_BE
}
IREndness;
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 | typedef
enum {
Ity_INVALID=0x1100,
Ity_I1,
Ity_I8,
Ity_I16,
Ity_I32,
Ity_I64,
Ity_I128,
Ity_F16,
Ity_F32,
Ity_F64,
Ity_D32,
Ity_D64,
Ity_D128,
Ity_F128,
Ity_V128,
Ity_V256
}
IRType;
extern void ppIRType ( IRType );
extern Int sizeofIRType ( IRType );
extern IRType integerIRTypeOfSize ( Int szB );
IREndness用于加载IRExprs和存储IRStmts。
typedef
enum {
Iend_LE=0x1200,
Iend_BE
}
IREndness;
|
常量
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | IRConsts在“ Const”和“ Exit” IRExprs中使用。
typedef
enum {
Ico_U1=0x1300,
Ico_U8,
Ico_U16,
Ico_U32,
Ico_U64,
Ico_F32,
Ico_F32i,
Ico_F64,
Ico_F64i,
Ico_V128,
Ico_V256
}
IRConstTag;
|
一个常量,存储为带标记的联合体,tag 表示这是一个什么样的常数Ico是一个union,它控制着各个领域。如果 IRConst'c' 的c.tag等于Ico_U32,则它是32位常量,其值可以使用'c.Ico.U32'访问
7.call targets
描述要调用的帮助函数。名字部分纯粹是为了漂亮的打印而不是实际使用。regparms=n告诉后端被调用方已被声明为“__attribute__(regparm(n))”,尽管间接使用VEX_REGPARM(n)宏。在某些目标(x86)上,后端需要构造一个非标准序列来调用这样声明的函数。
mcx_mask 是一种记忆检查的标准。它指出在计算结果的定义时,哪些参数应该被视为“总是定义的”。mcx_mask的位0对应于args[0],位1对应于args[1]等。如果设置了位,则从定义性检查中排除相应的arg(因此“mcx”中的“x”)。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | typedef
struct {
Int regparms;
const HChar* name;
void* addr;
UInt mcx_mask;
}
IRCallee;
extern IRCallee* mkIRCallee ( Int regparms, const HChar* name, void* addr );
extern IRCallee* deepCopyIRCallee ( const IRCallee* );
extern void ppIRCallee ( const IRCallee* );
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 | typedef struct _IRQop IRQop;
typedef struct _IRTriop IRTriop;
对于每种类型的表达式,可以使用ppIrExpr()来显示
不同种类的表达式:
typedef
enum {
Iex_Binder=0x1900,
Iex_Get,
Iex_GetI,
Iex_RdTmp,
Iex_Qop,
Iex_Triop,
Iex_Binop,
Iex_Unop,
Iex_Load,
Iex_Const,
Iex_ITE,
Iex_CCall,
Iex_VECRET,
Iex_BBPTR
}
IRExprTag;
|
它们的含义在下面的IRExpr注释中解释。存储为标记的联合。 “标签”指示这是一种表达。 “ Iex”是持有字段的联合。 如果IRExpr'e'具有等于Iex_Load的e.tag,则它是一个负载表达式,并且可以使用'e.Iex.Load。<fieldname>'访问这些字段。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 | struct _IRExpr {
IRExprTag tag;
union {
struct {
Int binder;
} Binder;
struct {
Int offset;
IRType ty;
} Get;
ppIRExpr output: GETI<descr>[<ix>,<bias]
eg. GETI(128:8xI8)[t1,0]
struct {
IRRegArray* descr;
IRExpr* ix;
Int bias;
} GetI;
struct{
ITRemp tmp;
}RdTmp;
ppIRExpr output: <op>(<arg1>, <arg2>, <arg3>, <arg4>),
eg. MAddF64r32(t1, t2, t3, t4)
struct {
IRQop* details;
} Qop;
struct {
IRTriop* details;
} Triop;
struct {
IROp op;
IRExpr* arg1;
IRExpr* arg2;
} Binop;
struct {
IROp op;
IRExpr* arg;
} Unop;
struct {
IREndness end;
IRType ty;
IRExpr* addr;
} Load;
struct {
IRConst* con;
} Const;
struct {
IRCallee* cee;
IRType retty;
IRExpr** args;
} CCall;
struct {
IRExpr* cond;
IRExpr* iftrue;
IRExpr* iffalse;
} ITE;
} Iex;
};
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | IRConsts在“ Const”和“ Exit” IRExprs中使用。
typedef
enum {
Ico_U1=0x1300,
Ico_U8,
Ico_U16,
Ico_U32,
Ico_U64,
Ico_F32,
Ico_F32i,
Ico_F64,
Ico_F64i,
Ico_V128,
Ico_V256
}
IRConstTag;
|
一个常量,存储为带标记的联合体,tag 表示这是一个什么样的常数Ico是一个union,它控制着各个领域。如果 IRConst'c' 的c.tag等于Ico_U32,则它是32位常量,其值可以使用'c.Ico.U32'访问
7.call targets
描述要调用的帮助函数。名字部分纯粹是为了漂亮的打印而不是实际使用。regparms=n告诉后端被调用方已被声明为“__attribute__(regparm(n))”,尽管间接使用VEX_REGPARM(n)宏。在某些目标(x86)上,后端需要构造一个非标准序列来调用这样声明的函数。
mcx_mask 是一种记忆检查的标准。它指出在计算结果的定义时,哪些参数应该被视为“总是定义的”。mcx_mask的位0对应于args[0],位1对应于args[1]等。如果设置了位,则从定义性检查中排除相应的arg(因此“mcx”中的“x”)。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | typedef
struct {
Int regparms;
const HChar* name;
void* addr;
UInt mcx_mask;
}
IRCallee;
extern IRCallee* mkIRCallee ( Int regparms, const HChar* name, void* addr );
extern IRCallee* deepCopyIRCallee ( const IRCallee* );
extern void ppIRCallee ( const IRCallee* );
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 | typedef struct _IRQop IRQop;
typedef struct _IRTriop IRTriop;
对于每种类型的表达式,可以使用ppIrExpr()来显示
不同种类的表达式:
typedef
enum {
Iex_Binder=0x1900,
Iex_Get,
Iex_GetI,
Iex_RdTmp,
Iex_Qop,
Iex_Triop,
Iex_Binop,
Iex_Unop,
Iex_Load,
Iex_Const,
Iex_ITE,
Iex_CCall,
Iex_VECRET,
Iex_BBPTR
}
IRExprTag;
|
它们的含义在下面的IRExpr注释中解释。存储为标记的联合。 “标签”指示这是一种表达。 “ Iex”是持有字段的联合。 如果IRExpr'e'具有等于Iex_Load的e.tag,则它是一个负载表达式,并且可以使用'e.Iex.Load。<fieldname>'访问这些字段。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 | struct _IRExpr {
IRExprTag tag;
union {
struct {
Int binder;
} Binder;
struct {
Int offset;
IRType ty;
} Get;
ppIRExpr output: GETI<descr>[<ix>,<bias]
eg. GETI(128:8xI8)[t1,0]
struct {
IRRegArray* descr;
IRExpr* ix;
Int bias;
} GetI;
struct{
ITRemp tmp;
}RdTmp;
ppIRExpr output: <op>(<arg1>, <arg2>, <arg3>, <arg4>),
eg. MAddF64r32(t1, t2, t3, t4)
struct {
IRQop* details;
} Qop;
struct {
IRTriop* details;
} Triop;
struct {
IROp op;
IRExpr* arg1;
IRExpr* arg2;
} Binop;
struct {
IROp op;
IRExpr* arg;
} Unop;
struct {
IREndness end;
IRType ty;
IRExpr* addr;
} Load;
struct {
IRConst* con;
} Const;
struct {
IRCallee* cee;
IRType retty;
IRExpr** args;
} CCall;
struct {
IRExpr* cond;
IRExpr* iftrue;
IRExpr* iffalse;
} ITE;
} Iex;
};
|
[注意]看雪招聘,专注安全领域的专业人才平台!
最后于 2020-3-31 09:31
被wwzzww编辑
,原因:
