[原创]LLVM常用插桩API示例

程序插桩是在保证被测程序原有逻辑完整性的基础上在程序中插入一些探针代码，以在程序动态执行时收集内部运行信息，用于进行程序分析或安全分析。典型地，可以通过插桩获取程序的控制流（例如代码覆盖情况）和数据流（例如运行时变量值）信息。代表性的基于程序插桩的工具/框架有LLVM DataSanitizer、American Fuzzy Lop、SymCC等，对程序分析、软件安全测试具有重要意义。

程序插桩主要有三类方案，适用于不同的目标和场景：

程序插桩技术广泛应用于程序分析/自动化漏洞挖掘研究与实践中，例如：

LLVM框架在编译时允许用户编写自己的LLVM Pass，在中间语言（LLVM IR）级别进行程序插桩，结合LLVM IR提供的丰富程序信息，可以结合静态分析更好地进行插桩。

个人认为学习LLVM编译插桩最好的途径是找到应用该技术的一些开源项目，例如AFL，结合官方文档进行学习。以下，仅分享一些我们之前工作中用到的有意思的API的示例代码

见stackoverflow

或者仅仅想插桩if ... then ...的逻辑，就可以用SplitBlockAndInsertIfThen()，其使用相对简单些，一个例子如下：

上述插桩将在目标程序中插入如下代码：

值得注意的是，splitblockandinsertifthenelse()的第三个参数可以由用户可选地提供一个branch weight的参数，指定该分支的通过概率以便于进行优化（类似unlikely?）。

LLVM IR中惯用的IntegerType主要是：

但是，今天注意到了一个有意思的API:

从而，我们可以定义任意长度的IntegerType，能够更加灵活地使用LLVM玩出花样。以下给出一个例子，在这个例子中，我们希望提取字符串的前N字节（N getPointerTo());      Value *hex = IRB.CreateLoad(ptr);      hex = IRB.CreateZExt(hex, Int64Ty);      for (auto &I : *IP->getParent()) {            if (dyn_cast(&I)) {                  llvm::ReturnInst *new_inst = llvm::ReturnInst::Create(m->getContext(), hex);                  ReplaceInstWithInst(&I, new_inst);                  break;            }      }}

插桩后的demo.ll如下：

之所以LLVM IR中的Int8Ty、Int16Ty、Int32Ty更常用，是因为它们对应了Byte、Word、Dword等类型，可以直接通过汇编指令表示。为了探究IntNTy，即任意长度的整型在x86汇编中的实现，我们将上一小节中的demo.c编译成可执行文件，并通过gdb反汇编来查看插桩代码的实现：

可以看到，对于6字节的IntNTy，汇编中首先读取一个4字节的Dword，接着读取一个2字节的Word，然后通过“移位”与“或”操作组合成一个6字节的值。

显然，IntNty提供了更方便的方式，让我们可以在插桩时使用一个任意长度的整型值。但是，从汇编角度，当LLVM IR最终编译成汇编代码时，IntNTy仍然是基于Byte、Dword等类型实现，并且仍然需要引入额外的开销来进行组合。LLVM IR只不过是将基础类型“组合”的部分进行了封装，提供了便捷但并不会提升效率。

类似IDAPython，在基本块的级别获取其前继/后继。例如：

这里需要注意，我们遇到过一个奇怪的情况(通常发生在switch结构中)，即predecessors()返回多个相同的基本块指针：

Github Issue中有人遇到了相同的情况：#76. 目前，我们只能在调用predecessors()后手动进行检查和去重。

查看LLVM BasicBlock类的文档时，发现了一些有意思的成员函数

我们主要疑惑于其中"Unique"的含义。在查阅源码注释后，基本得到了解答：

最后，本篇只是做一个简单的分享，欢迎批评与指正。

顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》！