使用 Objdump 的结果构建控制流图

Question

我正在尝试构建通过调用 objdump -d 返回的程序集结果的控制流图。目前我想到的最好的方法是将结果的每一行放入一个链表中，并分离出每一行的内存地址、操作码和操作数。我根据 objdump 结果的常规性质将它们分开（内存地址是表示每行的字符串中从字符 2 到字符 7）。

完成此操作后，我将开始实际的 CFG 指令。 CFG 中的每个节点都保存起始和结束内存地址、指向前一个基本块的指针以及指向任何子基本块的指针。然后，我将检查 objdump 结果并将操作码与 x86_64 中所有控制流操作码的数组进行比较。如果操作码是控制流操作码，我将地址记录为基本块的末尾，并根据操作码添加两个子指针（条件操作码）或一个（调用或返回）。

我正在用 C 实现这个过程，看起来它会起作用，但感觉非常脆弱。有人有什么建议，或者有什么我没有考虑到的吗？

感谢您花时间阅读本文！

编辑：

这个想法是使用它来比较 DynamoRIO 生成的系统调用的堆栈跟踪与目标二进制文件的预期 CFG，我希望像这样构建它会促进这一点。我没有重新使用可用的内容，因为 A）我没有真正考虑过它，B）我需要将图形放入可用的数据结构中，以便我可以进行路径比较。我将看一下您所访问的页面上的一些实用程序，感谢您为我指明了正确的方向。感谢您的评论，我真的很感激！

Answer 1

您应该使用专为程序分析而设计的 IL。有几个。

DynInst 项目 (dyninst.org) 有一个提升程序，可以将 ELF 二进制文件转换为函数/程序的 CFG（或者我上次查看时就是这样做的）。 DynInst 是用 C++ 编写的。

BinNavi 使用 IDA（交互式反汇编器）的输出来构建 IDA 识别的 IL 失控流程图。我还推荐一份 IDA 副本，它可以让您直观地抽查 CFG。一旦您在 BinNavi 中拥有了一个程序，您就可以获得其函数/CFG 的 IL 表示。

函数指针只是静态识别控制流图的麻烦的开始。跳转表（在某些情况下为 switch case 语句生成的类型，在其他情况下手动生成）也会带来麻烦。我所知道的每个代码分析框架都以非常启发式的方法处理这些问题。然后是异常和异常处理，以及自修改代码。

祝你好运！您已经从 DynamoRIO 跟踪中获取了大量信息，我建议您从该跟踪中利用尽可能多的信息.​​.....

Answer 2

我发现你的问题是因为我有兴趣寻找同样的东西。
我什么也没找到，为此编写了一个简单的 python 脚本并将其放在 github 上：
https://github.com/zestrada/playground/blob/master/objdump_cfg /objdump_to_cfg.py

请注意，我有一些启发式方法来处理永远不会返回的函数、32 位 x86 上的 gcc 堆栈保护器等...您可能想要也可能不想要这样的东西。

我对待间接调用的方式与您的做法类似（基本上，图中有一个节点，该节点是从间接返回时的源）。

希望这对任何想要在类似限制下进行类似分析的人有所帮助。

Answer 3

我过去也遇到过类似的问题，为此目的编写了 asm2cfg 工具： https://github.com/卡朱/asm2cfg。该工具支持 GDB 反汇编和 objdump 输入，并将 CFG 输出为点或 pdf。

希望有人觉得这有帮助！