项目地址:llvm-project/compiler-rt/lib/fuzzer at main · llvm/llvm-project (github.com)
libFuzzer 是由 LLVM 项目开发的覆盖率引导模糊测试引擎，广泛用于自动发现软件中的漏洞和错误。它通过不断生成和测试输入数据，提高代码覆盖率，找到潜在的缺陷。libFuzzer 尤其适合测试用 C 和 C++ 编写的代码。

libFuzzer 是一个面向库的模糊测试引擎，广泛用于发现软件中的漏洞。了解其模块结构有助于深入理解其工作原理和扩展能力。以下是 libFuzzer 的主要模块结构：

libFuzzer 的主要功能包括：

源码位置：llvm-project/compiler-rt/lib/fuzzer at main · llvm/llvm-project (github.com)
这个 Fuzzer 类的构成可以分为以下几个部分：

主要功能函数：

时间与状态函数：

静态回调函数（Static Callback Functions）：

其他功能函数：

这个类主要涉及模糊测试的核心功能，包括种子语料库的处理、崩溃管理、变异调度、统计信息打印等多个方面。

Libfuzzer源码学习项目:Dor1s/libfuzzer-workshop: Repository for materials of "Modern fuzzing of C/C++ Projects" workshop. (github.com)
libfuzzer最新源码位置:llvm-project/compiler-rt/lib/fuzzer at main · llvm/llvm-project (github.com)
源码讲解:d30K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1K9h3I4A6j5X3W2D9K9g2)9J5k6h3y4G2L8g2)9J5c8Y4k6A6k6r3g2G2i4K6u0r3b7W2j5I4f1V1R3@1P5e0q4J5y4K6c8H3i4K6u0r3i4K6y4r3M7%4m8E0i4K6g2X3K9h3c8Q4y4h3k6X3M7X3!0E0i4K6y4p5x3K6x3K6i4K6u0W2y4K6R3^5

libFuzzer 是 LLVM 项目中的一部分，专门用于通过模糊测试来自动化测试 C/C++ 项目中的漏洞。其核心流程大致分为以下几个步骤：

主函数入口代码如下：

在这个主函数中，调用了 fuzzer::FuzzerDriver 函数，并传入了用户定义的 LLVMFuzzerTestOneInput 函数。LLVMFuzzerTestOneInput 是由用户编写的，用于定义模糊测试的目标函数，它接收输入数据进行测试并返回测试结果。FuzzerDriver 函数则负责模糊测试的核心逻辑。

FuzzerDriver 是 libFuzzer 的核心函数，它的主要作用是设置和启动模糊测试。函数签名如下：

核心步骤包括：

主循环 (Fuzzer::Loop)：
Loop 是 libFuzzer 中用于执行模糊测试的核心循环。它会不断从语料库中提取输入数据，进行输入变异，并将变异后的输入传递给 LLVMFuzzerTestOneInput 进行测试。循环的目的是通过广泛探索输入空间，发现导致程序崩溃或行为异常的输入，从而发现潜在的漏洞。

变异引擎：
MutationDispatcher 是 libFuzzer 的变异引擎，它会生成各种输入数据变种，覆盖尽可能多的代码路径。变异策略包括：

测试结果收集：
每次输入变异后，libFuzzer 会将结果反馈给 Fuzzer 对象，判断程序是否崩溃或异常。出现崩溃时，libFuzzer 会记录触发崩溃的输入，并终止循环进行进一步分析。

更多版本:Release LLVM 18.1.8 · llvm/llvm-project (github.com)
libFuzzer的源码根据需要下载对应版本进行源码编译。

一键配置clang脚本:，该脚本在Ubuntu20上成功测试运行过：

与覆盖率相关的选项如下：

以下是与覆盖率相关的选项的使用方法和案例说明：

在libfuzzer中有很多命令并未实现可以自行寻找，这是在vscode匹配命令选项的正则表达式:Options\.\w+\s*=\s*Flags\.\w+;

为了满足以下二次开发需求：

首先，修改 libFuzzer/FuzzerLoop.cpp，增加用于导出模糊测试过程中数据的接口。我们可以通过直接修改 libFuzzer 的覆盖率部分，创建接口来收集并输出信息。下面是覆盖率和其他统计信息的部分代码片段：

在 Fuzzer::PrintStats 函数中，我们已经将覆盖率、执行次数、内存使用情况等统计信息打印，并通过 ExportDataToFrontend 函数导出到外部系统，可以进一步传递到前端页面。

要实现 libFuzzer 的持久模糊测试，并且避免在发现 crash 后终止，可以通过修改 libFuzzer 源码来调整其行为。libFuzzer 默认行为是当检测到崩溃（如非法内存访问、堆溢出等）时终止模糊测试。为了避免这种情况，目标是允许 fuzzing 继续进行而不退出。

定位崩溃处理逻辑：
libFuzzer 在检测到 crash 后会调用 LLVMFuzzerTestOneInput，这段代码可能会引发未处理异常，导致 fuzzing 过程终止。我们可以通过修改 libFuzzer 的 crash 处理逻辑，使其在崩溃时记录问题但继续模糊测试。

关键代码修改点：
需要查找 libFuzzer 源码中的崩溃处理位置，一般在 FuzzerLoop.cpp 和 FuzzerDriver.cpp 文件中。

持久化模糊测试的入口：
如果你想让模糊测试保持“持久化”，即反复利用同一测试环境进行测试，可以在 FuzzerLoop.cpp 中引入一个持久化模式（Persistent Mode）。这种模式会允许测试继续，而不是每次退出。

实现持久化模式：
在 FuzzerLoop.cpp 中找到模糊测试的主要循环。将其改成持久化循环模式，像这样：

捕获崩溃并继续测试：
修改 libFuzzer 中的 FuzzerDriver.cpp 文件，让崩溃不会终止程序。可以在捕获崩溃的地方加入 try-catch 或平台相关的异常处理机制，确保在崩溃时记录并恢复。

处理信号（Signal Handling）：
在某些情况下，libFuzzer 可能通过信号（如 SIGSEGV, SIGABRT）来处理崩溃。你可以修改信号处理函数，确保信号不会导致进程终止。

编译脚本文件路径:llvm-project/compiler-rt/lib/fuzzer/build.sh at main · llvm/llvm-project (github.com)
在完成代码修改后，需要重新编译 libFuzzer 生成 libFuzzer.a 静态库。可以使用如下编译脚本：

将修改后的源码放置到 libFuzzer 源码目录，运行该脚本编译，生成一个 libFuzzer.a 静态库，用于后续的模糊测试项目链接使用。

自定义的libFuzzer的使用方式：

这里的libFuzzer.a是自己使用项目提供的build.sh编译出来的版本，还可以添加其他编译选项自行添加！

教程地址:fuzzing/tutorial/libFuzzerTutorial.md 在 master ·谷歌/模糊测试 (github.com)

文件位置:FTS/woff2-2016-05-06/target.cc

准备对：CVE-2014-0160 进行复现
漏洞原理：OpenSSL 心脏滴血漏洞(CVE-2014-0160)漏洞讲解（小白可懂，简单详细）-CSDN博客
使用github项目已经准备好的编译脚本：

创建一个包含 LLVMFuzzerTestOneInput 函数的模糊测试目标：
文件所在路径:fuzzer-test-suite/openssl-1.0.1f

在项目根目录中，运行以下命令编译模糊测试目标,详细的编译选项可以查看build.sh ：

在项目根目录中，运行以下命令开始模糊测试，成功跑出堆溢出漏洞：

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！