前言

在搞fuzz的时候发现了一个比较难以解决的问题。例如if(*buf == "\xde\xad\xbe\xef"),我们如果想通过纯fuzz去进入这个if的分支,那么概率极其微小。这就使我不得不去尝试通过一些其他的方法去解决这个问题。于是我想到了一个比较出名符号执行的工具————angr。这篇文章记录笔者入门angr的过程。

环境安装

angr 的安装

angr的安装非常简便,通过pip即可,不过貌似angr因为会依赖很多其他的库,所以它的创作者推荐把他装在虚拟环境当中,不过笔者就直接装在虚拟机里了。

pip3 install angr

学习环境安装

我这里用的是github上的一个项目对angr进行入门学习。

git clone https://github.com/jakespringer/angr_ctf.git

angr 基本使用方法

angr.Project

这是我们分析一个二进制文件的第一步,就是创建一个angr.Project类,我们的后续操作都将基于这个类展开。并且我们可以通过所创建的project获取二进制文件的一些基本信息。如:project.arch可以获得这个二进制文件的架构,project.entry可以获得这个二进制文件的起始地址,proj.filename获得这个二进制文件的名字。

例如:

import sys

import angr

bin_path = "./00_angr_find"

project = angr.Project(bin_path)

print(project.arch)

print(hex(project.entry))

print(project.filename)

结果:

<Arch X86 (LE)>

0x80490b0

./00_angr_find

project.factory

project.factory为我们提供了一些实用的类的构造器

project.factory.block(address)

angr是以基本块为单位进行的分析,project.factory.block(address)可以获得给定地址所在的基本块.pp()可以获得该基本块的汇编代码。

例如:

block = project.factory.block(project.entry)

block.pp()

结果:

         _start:

80490b0  endbr32

80490b4  xor     ebp, ebp

80490b6  pop     esi

80490b7  mov     ecx, esp

80490b9  and     esp, 0xfffffff0

80490bc  push    eax

80490bd  push    esp

80490be  push    edx

80490bf  call    0x80490e7
project.factory.entry_state()

project.factory.entry_state()用来获取一个程序的初始执行状态。

project.factory.blank_state(addr)

project.factory.blank_state(addr=...)用来获取一个程序从指定地址开始执行的空白状态。

state - 模拟执行状态

无论是project.factory.entry_state(),还是project.factory.blank_state(addr=...),都会返回一个模拟执行状态,我们可以把它存放到某个变量里,如存到state里。

state.regs

state.regs可以获取一些寄存器的值,如state.regs.esp即可获得esp的值。我们可以对其直接进行加减操作。

例如:

init_state = project.factory.entry_state()

print(init_state.regs.esp)

init_state.regs.esp-=12

print(init_state.regs.esp)

结果:

<BV32 0x7ffeffac>

<BV32 0x7ffeffa0>
state.memory

state.memory是访问内存接口的一种形式。state.memory.load(addr, size_in_bytes):获取该地址上指定大小的位向量。state.memory.store(addr, bitvector):将一个位向量存储到指定地址、

state.posix

state.posixPOSIX相关的环境接口,例如state.posix.dumps(fileno)获取对应文件描述符上的流。

simulation_manager - 模拟执行器

angr将一个状态的执行方法独立成一个SimulationManager类,有以下两种写法:

1、simgr = proj.factory.simgr(state)

2、simgr = proj.factory.simulation_manager(state)
simgr.step()

simgr.step():以基本块为单位的单步执行。

simgr.explore(find)

simgr.explore(find):路径探索,即执行到指定地址并进行约束求解,将执行完成的状态放在simgr.found列表中,若无法求解则该列表为空。

angr初探的更多相关文章

  1. 初探领域驱动设计(2)Repository在DDD中的应用

    概述 上一篇我们算是粗略的介绍了一下DDD,我们提到了实体.值类型和领域服务,也稍微讲到了DDD中的分层结构.但这只能算是一个很简单的介绍,并且我们在上篇的末尾还留下了一些问题,其中大家讨论比较多的, ...

  2. CSharpGL(8)使用3D纹理渲染体数据 (Volume Rendering) 初探

    CSharpGL(8)使用3D纹理渲染体数据 (Volume Rendering) 初探 2016-08-13 由于CSharpGL一直在更新,现在这个教程已经不适用最新的代码了.CSharpGL源码 ...

  3. 从273二手车的M站点初探js模块化编程

    前言 这几天在看273M站点时被他们的页面交互方式所吸引,他们的首页是采用三次加载+分页的方式.也就说分为大分页和小分页两种交互.大分页就是通过分页按钮来操作,小分页是通过下拉(向下滑动)时异步加载数 ...

  4. JavaScript学习(一) —— 环境搭建与JavaScript初探

    1.开发环境搭建 本系列教程的开发工具,我们采用HBuilder. 可以去网上下载最新的版本,然后解压一下就能直接用了.学习JavaScript,环境搭建是非常简单的,或者说,只要你有一个浏览器,一个 ...

  5. .NET文件并发与RabbitMQ(初探RabbitMQ)

    本文版权归博客园和作者吴双本人共同所有.欢迎转载,转载和爬虫请注明原文地址:http://www.cnblogs.com/tdws/p/5860668.html 想必MQ这两个字母对于各位前辈们和老司 ...

  6. React Native初探

    前言 很久之前就想研究React Native了,但是一直没有落地的机会,我一直认为一个技术要有落地的场景才有研究的意义,刚好最近迎来了新的APP,在可控的范围内,我们可以在上面做任何想做的事情. P ...

  7. 【手把手教你全文检索】Apache Lucene初探

    PS: 苦学一周全文检索,由原来的搜索小白,到初次涉猎,感觉每门技术都博大精深,其中精髓亦是不可一日而语.那小博猪就简单介绍一下这一周的学习历程,仅供各位程序猿们参考,这其中不涉及任何私密话题,因此也 ...

  8. Key/Value之王Memcached初探:三、Memcached解决Session的分布式存储场景的应用

    一.高可用的Session服务器场景简介 1.1 应用服务器的无状态特性 应用层服务器(这里一般指Web服务器)处理网站应用的业务逻辑,应用的一个最显著的特点是:应用的无状态性. PS:提到无状态特性 ...

  9. NoSQL初探之人人都爱Redis:(3)使用Redis作为消息队列服务场景应用案例

    一.消息队列场景简介 “消息”是在两台计算机间传送的数据单位.消息可以非常简单,例如只包含文本字符串:也可以更复杂,可能包含嵌入对象.消息被发送到队列中,“消息队列”是在消息的传输过程中保存消息的容器 ...

  10. Unity3D游戏开发初探—1.跨平台的游戏引擎让.NET程序员新生

    一.Unity3D平台简介 Unity是由Unity Technologies开发的一个让轻松创建诸如三维视频游戏.建筑可视化.实时三维动画等类型互动内容的多平台的综合型游戏开发工具,是一个全面整合的 ...

随机推荐

  1. Cesium-03:洪水淹没

    Cesium-01:Vue 中基础使用 Cesium-02:飞机模型简单点对点飞行 Cesium-03:洪水淹没 前言 最开始想做洪水淹没的话,查了一些资料.又基于不同的实现的,如 ArcScene ...

  2. 第2-4-8章 规则引擎Drools实战(1)-个人所得税计算器

    目录 9. Drools实战 9.1 个人所得税计算器 9.1.1 名词解释 9.1.2 计算规则 9.1.2.1 新税制主要有哪些变化? 9.1.2.2 资较高人员本次个税较少,可能到年底扣税增加? ...

  3. CSS伪类使用详解

    基本描述 CSS伪类是很常用的功能,主要应用于选择器的关键字,用来改变被选择元素的特殊状态下的样式. 伪类类似于普通CSS类的用法,是对CSS选择器的一种扩展,增强选择器的功能. 目前可用的伪类有大概 ...

  4. React DevUI 18.0 正式发布🎉

    Jay 是一位经验丰富并且对质量要求很高的开发者,对 Angular.React 等多种框架都很熟悉,我们在开源社区认识,在我做开源社区运营的过程中,Jay 给了我很多帮助,他也是 React Dev ...

  5. C# 操作IIS加强版(添加,删除,启动,暂停网站,默认页,绑定信息)

    C# 操作IIS加强版(添加,删除,启动,暂停网站,默认页,绑定信息) 主要功能如下 在本机的IIS创建Web网站 删除网站包括应用程序池 删除应用程序池 添加默认文档 删除默认文档 添加虚拟目录 删 ...

  6. webShell攻击及防御

    最近公司项目也是经常被同行攻击,经过排查,基本定位都是挂马脚本导致,所以针对webShell攻击做一下记录. 首先简单说下 什么是webShell? 利用文件上传,上传了非法可以执行代码到服务器,然后 ...

  7. PTA散列表平方探测法解决冲突

    PTA散列表平方探测法解决冲突 核心问题   当所有的位置都被填上了,且不能插入关键词,要进入死循环了怎么办? 题目   本题的任务很简单:将给定的无重复正整数序列插入一个散列表,输出每个输入的数字在 ...

  8. docker 第一课

    centos安装docker yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo ...

  9. pg_basebackup恢复:unrecognized configuration parameter "restore_command"

    问题描述:2022年最后一个工作日,时间过的真快,一晃又一年过去了,祝愿看到的各位元旦快乐. 使用pg_basebackup进行pg的备份恢复,在恢复的过程中,配置文件添加恢复的参数,一直启动报错. ...

  10. [seaborn] seaborn学习笔记1-箱形图Boxplot

    文章目录 1 箱形图Boxplot 1. 基础箱形图绘制 Basic boxplot and input format 2. 自定义外观 Custom boxplot appearance 3. 箱型 ...