0、资料

几个主要的网站

angr的github:https://github.com/angr

angr的document:https://docs.angr.io/

angr的api:https://angr.io/api-doc/

1、angr安装

我的实验环境是Ubuntu14.04,显示安装依赖:

sudo apt-get install python-dev libffi-dev build-essential virtualenv

然后新建一个python虚拟环境,进入angr环境

virtualenv angr

source angr/bin/activate

安装angr

sudo pip install angr

2、angr中的基本概念

Project

Project是angr中的基本概念,通过下面的简单两行代码可以新建一个Project变量

import angr

p = angr.Project('/bin/sh')

project中有一些基本属性,然后打印他们,包括arch中的很多属性

print(p.arch)

print(p.arch.bits)

print(p.arch.name)

print(p.arch.bytes)

print(p.arch.memory_endness)

print(hex(p.entry))

print(p.filename)

结果

<Arch AMD64 (LE)>

64

AMD64

8

Iend_LE

0x404e32

/bin/sh

loader

loader是表示可执行文件加载到内存之中的变量,同样先来看一些基本的属性,打印他们

print(p.loader)#主程序对象,下面的打印结果显示程序的名字是dash

print(p.loader.shared_objects)#动态库对象,结果包含了动态连接器、库以及主程序

print(p.loader.min_addr)

print(p.loader.max_addr)

print(p.loader.main_object)#主对象

print(p.loader.main_object.execstack)#是否有可执行栈,即是否开启了nx

print(p.loader.main_object.pic)#是否是地址无关代码

结果如下:

<Loaded dash, maps [0x400000:0x5008000]>

OrderedDict([('dash', <ELF Object dash, maps [0x400000:0x61fde7]>), (u'libc.so.6', <ELF Object libc-2.19.so, maps [0x1000000:0x13c82bf]>), (u'ld-linux-x86-64.so.2', <ELF Object ld-2.19.so, maps [0x2000000:0x22241c7]>)])

4194304

83918848

<ELF Object dash, maps [0x400000:0x61fde7]>

False

True

factory

可以使用project构造一系列对象

Blocks

angr可以从基本块的角度来分析程序,block代表基本块,给project.factory.block()函数传递一个地址,则会返回一个block对象

看block中有哪些对象,将p.entry传递给block函数

block = p.factory.block(p.entry)

print(block)#基本块信息

print(block.pp())#打印出汇编指令

print(block.instructions)#打印出指令数目

print(block.instruction_addrs)#打印出每条指令的地址

结果:

<Block for 0x404e32, 41 bytes>

0x404e32:    xor    ebp, ebp

0x404e34:    mov    r9, rdx

0x404e37:    pop    rsi

0x404e38:    mov    rdx, rsp

0x404e3b:    and    rsp, 0xfffffffffffffff0

0x404e3f:    push    rax

0x404e40:    push    rsp

0x404e41:    lea    r8, qword ptr [rip + 0x10c88]

0x404e48:    lea    rcx, qword ptr [rip + 0x10c11]

0x404e4f:    lea    rdi, qword ptr [rip - 0x1f6]

0x404e56:    call    0x404900

None

11

[4214322L, 4214324L, 4214327L, 4214328L, 4214331L, 4214335L, 4214336L, 4214337L, 4214344L, 4214351L, 4214358L]

同时,可以使用block来获得其他的对象

print(block.capstone)

print(block.vex)

States

在angr中,project代表一个可执行文件的映像,如果要模拟执行程序,则需要angr中的SimState的对象states来表示程序状态

state = p.factory.entry_state()

看里面的一些属性

print(state.regs.rip)#rip的值

print(state.regs.rax)#rax的值

print(state.mem[p.entry].int.resolved)#以int的格式打印出p.entry处的值

结果,因为是初始状态,所以初始的rip指向的是p.entry的值

<BV64 0x404e32>

<BV64 0x1c>

<BV32 0x8949ed31>

上面这些都是不python中int值的含义,BV指的Bitvector,位向量。

这样来进行位向量和int值的转换

>>> bv = state.solver.BVV(0x1234, 32)       # create a 32-bit-wide bitvector with value 0x1234

<BV32 0x1234>                               # BVV stands for bitvector value

>>> state.solver.eval(bv)                # convert to python int

0x1234
>>> state.regs.rsi = state.solver.BVV(3, 64)
>>> state.regs.rsi
<BV64 0x3>

然后看mem接口

>>> state.regs.rsi = state.solver.BVV(3, 64)

>>> state.regs.rsi

<BV64 0x3>

>>> state.mem[0x1000].long = 4

>>> state.mem[0x1000].long.resolved

<BV64 0x4>

使用数组[索引]符号指定地址

使用.<type>指定内存应该解释为<type>(常见值:char、short、int、long、size_t、uint8_t、uint16_t…)

从那里,你可以:

为它存储一个值,可以是位向量,也可以是python int

使用.resolve获取作为位向量的值

使用.concrete获取作为python int的值

>>> state.regs.rdi

<BV64 reg_48_11_64{UNINITIALIZED}>

这仍然是一个64位位向量,但它不包含数值。相反,它有一个名字!这被称为符号变量,它是符号执行的基础。

Simulation Managers

模拟管理器,管理了程序在执行过程之中的各种接口,看看新建一个模拟管理器,使用statue

simgr = proj.factory.simulation_manager(state)

往下执行一个基本快

simgr.step()

我们可以看看simgr.active[0]来查看我们当前的statue,simgr.active[0].regs.rip则会打印寄存器的RIP,可以发现它和初始化simgr的statue已经不同了

Analyses

project中定义了许多的analyses

proj.analyses.BackwardSlic
proj.analyses.CongruencyCheck
proj.analyses.reload_analyses
proj.analyses.BinaryOptimizer
proj.analyses.DDG
proj.analyses.StaticHooker
proj.analyses.BinDiff
proj.analyses.DFG
proj.analyses.VariableRecovery
proj.analyses.BoyScout
proj.analyses.Disassembly
proj.analyses.VariableRecoveryFast
proj.analyses.CDG
proj.analyses.GirlScout
proj.analyses.Veritesting
proj.analyses.CFG
proj.analyses.Identifier
proj.analyses.VFG
proj.analyses.CFGEmulated
proj.analyses.LoopFinder
proj.analyses.VSA_DDG
proj.analyses.CFGFast
proj.analyses.Reassembler
 
看下面简单的CFG的例子来了解analyses的简单用法
# Originally, when we loaded this binary it also loaded all its dependencies into the same virtual address  space

# This is undesirable for most analysis.

>>> proj = angr.Project('/bin/true', auto_load_libs=False)

>>> cfg = proj.analyses.CFGFast()

<CFGFast Analysis Result at 0x2d85130>

# cfg.graph is a networkx DiGraph full of CFGNode instances

# You should go look up the networkx APIs to learn how to use this!

>>> cfg.graph

<networkx.classes.digraph.DiGraph at 0x2da43a0>

>>> len(cfg.graph.nodes())

951

# To get the CFGNode for a given address, use cfg.get_any_node

>>> entry_node = cfg.get_any_node(proj.entry)

>>> len(list(cfg.graph.successors(entry_node)))

2

angr学习的更多相关文章

  1. angr 学习笔记

    前言 angr 是一个基于 符号执行 和 模拟执行 的二进制框架,可以用在很多的场景,比如逆向分析,漏洞挖掘等.本文对他的学习做一个总结. 安装 这里介绍 ubuntu 下的安装,其他平台可以看 官方 ...

  2. 符号执行-基于python的二进制分析框架angr

    转载:All Right 符号执行概述 在学习这个框架之前首先要知道符号执行.符号执行技术使用符号值代替数字值执行程序,得到的变量的值是由输入变 量的符号值和常量组成的表达式.符号执行技术首先由Kin ...

  3. 动若脱兔:深入浅出angr--初步理解符号执行以及angr架构

    一:概论 angr作为符号执行的工具,集成了过去的许多分析方式,它不仅能进行动态符号执行,而且还能进行很多静态分析,他在分析二进制程序中能发挥很大的作用,下面为一些应用: 1:利用符号执行探究执行路径 ...

  4. kali安装angr

    最近打算重新学习一波angr,先把环境搭好 1. 先安装virtualenv,这玩意是可以创建一个纯净的python环境,我陷入了沉思,pyenv好像也可以 这里利用豆瓣的源下载,非常快而且很舒服 p ...

  5. 从直播编程到直播教育:LiveEdu.tv开启多元化的在线学习直播时代

    2015年9月,一个叫Livecoding.tv的网站在互联网上引起了编程界的注意.缘于Pingwest品玩的一位编辑在上网时无意中发现了这个网站,并写了一篇文章<一个比直播睡觉更奇怪的网站:直 ...

  6. Angular2学习笔记(1)

    Angular2学习笔记(1) 1. 写在前面 之前基于Electron写过一个Markdown编辑器.就其功能而言,主要功能已经实现,一些小的不影响使用的功能由于时间关系还没有完成:但就代码而言,之 ...

  7. ABP入门系列(1)——学习Abp框架之实操演练

    作为.Net工地搬砖长工一名,一直致力于挖坑(Bug)填坑(Debug),但技术却不见长进.也曾热情于新技术的学习,憧憬过成为技术大拿.从前端到后端,从bootstrap到javascript,从py ...

  8. 消息队列——RabbitMQ学习笔记

    消息队列--RabbitMQ学习笔记 1. 写在前面 昨天简单学习了一个消息队列项目--RabbitMQ,今天趁热打铁,将学到的东西记录下来. 学习的资料主要是官网给出的6个基本的消息发送/接收模型, ...

  9. js学习笔记:webpack基础入门(一)

    之前听说过webpack,今天想正式的接触一下,先跟着webpack的官方用户指南走: 在这里有: 如何安装webpack 如何使用webpack 如何使用loader 如何使用webpack的开发者 ...

随机推荐

  1. 在Eclipse上Maven环境配置使用

    1. 安装配置Maven: 1.1 从Apache网站 http://maven.apache.org/ 下载并且解压缩安装Apache Maven. Maven下载地址: http://maven. ...

  2. Robot Framework 源码解析(1) - java入口点

    一直很好奇Robot Framework 是如何通过关键字驱动进行测试的,好奇它是如何支持那么多库的,好奇它是如何完成截图的.所以就打算研究一下它的源码. 这是官方给出的Robot framework ...

  3. 迎元旦,庆surging 1.0发布

    一位摄影程序员的独白 每个人都有爱好,都有释放压力的活动,而我也不例外,我除了每天上班,周末就会约一群好友去拍妹子,成家后,就改为拍虫子,一拍就到了30岁,到了30岁就感觉到了中年的压力,这时候停下手 ...

  4. webpack Code Splitting浅析

    Code Splitting是webpack的一个重要特性,他允许你将代码打包生成多个bundle.对多页应用来说,它是必须的,因为必须要配置多个入口生成多个bundle:对于单页应用来说,如果只打包 ...

  5. Scala脚本化-Ammonite

    Scala语言定义: Scala combines object-oriented and functional programming in one concise, high-level lang ...

  6. angular2-7中的变化监测

      最近做公司新项目用的angular7,中碰到了一个很头疼的问题在绑定对象中的数据改变时,页面视图没有跟新,需点击页面中的时间元素后才会更新.以前使用angularJs也经常碰到类似情况,这种时候一 ...

  7. 如何使用FluentMigrator进行数据库迁移

    标题:如何使用FluentMigrator进行数据库迁移 地址:https://www.cnblogs.com/lwqlun/p/10649949.html 作者: Lamond Lu FluentM ...

  8. 《HelloGitHub》第 35 期

    <HelloGitHub>第 35 期 兴趣是最好的老师,HelloGitHub 就是帮你找到兴趣! 简介 分享 GitHub 上有趣.入门级的开源项目. 这是一个面向编程新手.热爱编程. ...

  9. java数据结构和算法02(栈)

    什么叫做栈(Stack)呢?这里的栈和jvm的java栈可不是一个东西... 栈作为一种数据结构,我感觉栈就类似一种接口,实现的话有很多种,比如用数组.集合.链表都可以实现栈的功能,栈最大的特点就是先 ...

  10. SpringBoot从零单排 ------ 拦截器的使用

    在项目开发中我们常常需要对请求进行验证,如登录校验.权限验证.防止重复提交等等,通过拦截器来过滤请求.自定义一个拦截器需要实现HandlerInterceptor接口.代码如下: import org ...