本来做污点是想减少llm 手动检索的心智负担的，没想到进化这么快，1m上下文感觉干搜也够了

-[x] 重构后端cli，分离搜索逻辑和参数处理
-[x] 修改trace格式，适配污点分析
-[o] 正向/反向污点
-[ ] polars 进行指令频率分析，找计算指令密集处定位vm
-[ ] 切分基本块，重建cfg，分析流程循环
-[ ] 接入rizin增强功能
-[ ] 污点提供mcp
-[ ] gui重构优化

使用类似csv的格式

结构: 绝对地址;so 偏移;机器码;指令;寄存器操作;regs_read;mem.base_index_disp;mem_access_info;regs_write;func_call(可选);可视化字符(可选);

实际上只要处理成结构化的数据就可以，方便解析，方便处理

效果图, 由于对ltv的底层进行了大量优化，追踪十多层带分叉大概2秒不到; trace文件大几百mb，不到1G

把指令划分为几种类型
mem2reg, reg2mem, mem2mem, reg2reg

主要问题是 不同类型寄存器以及不同长度内存读写怎么对齐传递路径

正向污点同理规则稍微不同，但大体还是复用代码

很明显 只要find_prev "st__6f1c451790_" 就能定位到上一条语句

ld__6cf0159028_8

如果目标是x8 (寄存器2) 则

q0=0x0x0100000001000000e061f2cb6c000000 的值实际上来自 两个 w 一个 x 寄存器, 4+4+8
这种情况会比较复杂；如果遇到交叉覆写的情况就头大了；可以自己思考下解决办法

很简答，没啥说的

直接继续追 rw__.*8=0x188 就可以了

要根据上一次搜索的实际内存范围来决定；比如实际目标内存是 6cf0157880:8 那就是reg1，如果是 6cf0157888:8 那就追reg2

搜 rw__.*reg_num=reg_value

一般情况是进行计算

简单，也不用考虑计算过程，直接无脑追就行，搜rw__.*0=0x6f5c29c5c8。记录下来后面拿求解器分析

在此分支，深度优先搜索，但要限制层数

一般是通过memcpy函数进行的，TODO

原型是在010上做的，但果然还是自己可控的环境更好
010脚本自动分析trace

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！