Intel Pin基础

参考：http://software.intel.com/sites/landingpage/pintool/docs/62732/Pin/html/

http://blog.nruns.com/blog/2013/10/07/TracingExecutionWithPin-Carlos/

Pin is a tool for the instrumentation of programs. It supports the Android*, Linux*, OSX* and Windows* operating systems and executables for the IA-32, Intel(R) 64 and Intel(R) Many Integrated Core architectures.

Pin allows a tool to insert arbitrary code (written in C or C++) in arbitrary places in the executable. The code is added dynamically while the executable is running. This also makes it possible to attach Pin to an already running process.

Pin provides a rich API that abstracts away the underlying instruction set idiosyncracies and allows context information such as register contents to be passed to the injected code as parameters. Pin automatically saves and restores the registers that are overwritten by the injected code so the application continues to work. Limited access to symbol and debug information is available as well.

有点类似于Detours的意义，动态插桩。但是Detours的粒度是函数级别，而Pin的粒度是指令级别。

这也很好理解，Detours是Microsoft开发的，而Pin是Intel开发的。

1. 怎样在Windows下编译samples of Pintools

可以到http://software.intel.com/en-us/articles/pintool-downloads下载不同的Pin版本。

但是在Windows平台下，自版本56759以后，nmake被改成了make，但是内部仍然调用的cl.exe等工具进行生成，make问题不成功，没办法，只好退回49306版本。

cd .\source\tools\SimpleExamples

..\nmake TARGET=ia32 tools

然后，将

.\ia32\bin

.\source\tools\SimpleExamples\obj-ia32

目录下的可执行文件拷贝到目标机器上，即可以按照documentation指示的方法来执行pintools了。

2. 怎样编写自己的pintools

首先需要了解一下回调函数:

Pin提供不同粒度的回调函数，大体上可以分为下面层次：

IMG: Image Object

INS: Instruction Object

SEC: Section Object

RTN: Routine Object

REG: Register Object

TRACE: Single entrance, multiple exit sequence of instructions

BBL: Single entrance, single exit sequence of instructions

SYM: Symbol Object

我们首先编写一下IMG粒度的回调，用来捕获加载image的事件。

在\source\tools下面新建一个目录daniel

结构如下：

-- daniel

| 

 -- daniel.cpp

| 

 -- Nmakefile

|

 -- make.bat

1. daniel.cpp

#include "pin.H"

#include "portability.H"

#include <iostream>

#include <fstream>

using namespace std;

static std::ofstream* out = 0;

static INT32 Usage()

{

    cerr << "Daniel King's test module\n" << endl;

    return -1;

}

VOID ImageLoad(IMG img, void* v)

{

    *out << "loading image " << IMG_Name(img) << endl;

}

VOID Fini(int n, void *v)

{    

    *out << "## eof\n";

    out->close();

}

int main(int argc, char *argv[])

{

    if( PIN_Init(argc,argv) )

    {

        return Usage();

    }

    string filename =  "daniel.out";

    out = new std::ofstream(filename.c_str());

    IMG_AddInstrumentFunction(ImageLoad, 0);

    PIN_AddFiniFunction(Fini, 0);

    PIN_StartProgram();

    return 0;

}

2. Nmakefile

######################################################################################

# This is the NMAKE file for building and testing PIN toos contained in one of the

# subdirectories of the PinTool project or PIN kit. 

#

# For description of targets and options, see Nmakefile in the root directory.  

######################################################################################

!if "$(PIN_HOME)"==""

PIN_HOME=..

!endif

# Define tools to be buit and tested

######################################################################################

COMMON_TOOLS= daniel.dll

# Include building and testing rules from the root Nmakefile. 

######################################################################################

INCLUDE_SUB_RULES=1

!INCLUDE $(PIN_HOME)\Nmakefile 

3. make.bat

..\nmake target=ia32 tools

以后每次添加新的module时，在Nmakefile中添加生成目标，然后执行make.bat就会在obj-ia32目录下生成目标文件。

测试时，将.\ia32\bin下的pin执行文件，以及刚刚生成的module文件一同拷贝到目标文件夹，编写run.bat:

pin.exe -t %1 -- %2

3. MyPinTool模板

MyPinTool是一个Windows下项目的模板，通过该模板，可以方便地创建自己的项目，并且支持调试。

4. PinTool调试

参照第三步的模板建立的工程文件中，都会设置调试程序。

具体如下：

Command: .\ia32\bin\pin.exe

Command Arguments: -t $(TargetPath) -- target.exe

Working Directory: $(TargetDir)

在按下F5后，会弹出如下的提示窗口：

在Visual Studio IDE中选择Debug->Attach to process菜单，按提示的pid选择目标程序，附加到调试器；再到终端窗口下按下Enter键，就可以开启调试了。

5. Pintool线程与Application线程

Pintool线程是各种Callback执行的线程，而Application线程是执行应用程序本身的指令，以及通过InsertXXX插入的Instrument指令的线程。

那么在Callback中的统计，与InsertXXX生成的Instrument函数中的统计有什么区别？

Callback针对同一位置的代码块只统计一次，而InsertXXX是调用了多少次，就统计多少次。

那么Callback是否能够统计完全整个应用程序中的所有代码块吗？估计不能，只是根据执行情况，动态地统计。

// Pin calls this function every time a new instruction is encountered

VOID Instruction(INS ins, VOID *v)

{

    RTN rtn = INS_Rtn(ins);

    if (!RTN_Valid(rtn))

    {

        ++insNoRtnDiscoveredCount;

        INS_InsertCall(ins, IPOINT_BEFORE, (AFUNPTR)InsNoRtnCount, IARG_END);

    }

    else if (RTN_IsDynamic(rtn))

    {

        ++insDynamicDiscoveredCount;

        INS_InsertCall(ins, IPOINT_BEFORE, (AFUNPTR)InsDynamicCount, IARG_END);

    }

    else

    {

        ++insNativeDiscoveredCount;

        INS_InsertCall(ins, IPOINT_BEFORE, (AFUNPTR)InsNativeCount, IARG_END);

    }

}

6. 粒度的理解

Trace instrumentation lets the Pintool inspect and instrument an executable one trace at a time. Traces usually begin at the target of a taken branch and end with an unconditional branch, including calls and returns. Pin guarantees that a trace is only entered at the top, but it may contain multiple exits. If a branch joins the middle of a trace, Pin constructs a new trace that begins with the branch target. Pin breaks the trace into basic blocks, BBLs. A BBL is a single entrance, single exit sequence of instructions. Branches to the middle of a bbl begin a new trace and hence a new BBL. It is often possible to insert a single analysis call for a BBL, instead of one analysis call for every instruction. Reducing the number of analysis calls makes instrumentation more efficient. Trace instrumentation utilizes the TRACE_AddInstrumentFunction API call.

trace是一个比函数小一级的代码块粒度。

trace有如下特征：

6.1 起始

trace由一个branch的目标代码处起始

6.2 结束

遇到非条件的jmp指令，call指令，以及ret指令结束。

因此trace可以包含jcc指令，代表着一个trace可以有多个出口，即trace中的代码可能会有多条执行路径，即手册中所说的“一个入口，多个出口”。

trace会在实际执行中不断地划分，如果trace中包含了子trace，即有其他代码跳转到trace中的某个位置，这时需要细分trace.

BBL是比trace再小一个级别的代码块，它符合“一个入口，一个出口”的特点。

因此，我们可以在实际使用中，将BBL作为代码块的最小单位，以减少插桩的次数。

在静态分析代码方面

代码段虽然在PE文件中有定义明确的范围，但是在这个范围内，仍然是一坨，可以通过export table entry，以及symbol table进行更细粒度的划分，但是许多release版本的可执行文件就不好更加详细地划分了。

怎样静态地解析出比单条指令更加粗粒度的代码块，比如BBL级别，是一个需要解决的问题。