前言
QBDI是一个动态插桩工具,和pintools有点类似。 类似的工具还有Valgrind、DynamoRIO,过多的就不赘述,下面介绍QBDI的简单使用。
image.png
正文
安装
macos下安装QBDI,官方有release版的,也可以从github上clone下来编译,下面贴一下编译命令。
mkdir build
cd build
make llvm
make gtest
../cmake/config-macOS-X86_64.sh
make -j4
make install
测试
测试是否安装成功,运行一下命令。
mkdir test
cd test
qbdi-template
make
./qbdi_template
预期效果.png
play with it
既然是插桩工具,那么此工具可以用来分析代码覆盖率和代码的执行路径。本来准备试一下arm下native库的代码执行路径记录的。可惜官方的arm正在测试中,无法使用。那么来试试x86平台吧。我将QBDI和Frida结合起来,记录代码执行路径。贴一下简单的demo
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
void target_code(int num){
int i = 0 ;
if(num >100){
int a = 0xdead;
int b = 0xbeef;
int c = a + b;
}else{
printf("number too small\n");
}
}
int main(){
printf("[+] Runing For QBDI\n");
getchar();
// target_code();
return 0;
}
这是我们的目标hack进程,运行他的时候会阻塞,其中还有target_code是没有执行的。结合frida执行该函数。
首先第一步:运行此程序,程序会阻塞在getchar();
image.png
第二步:
frida qbdi_template -l /usr/local/share/qbdi/frida-qbdi.js --runtime=v8
大概含义就是attach到当前的 qbdi_template进程上,然后切换运行环境为v8。frida-qbdi脚本是make install安装的。只要安装成功就不会有其他问题,然后我们这里的目的是主动调用target_code代码,然后记录他的运行路径。在frida-qbdi.js最后面加上下面的代码。
var vm = new QBDI();
var state = vm.getGPRState();
vm.allocateVirtualStack(state, 0x1000000);
var funcPtr = Module.findExportByName(null, "target_code");
vm.addInstrumentedModuleFromAddr(funcPtr);
var icbk = vm.newInstCallback(function(vm, gpr, fpr, data) {
var inst = vm.getInstAnalysis();
// Display instruction dissassembly
var fmt = "0x" + inst.address.toString(16) + " " + inst.disassembly;
console.log(fmt);
return VMAction.CONTINUE;
});
vm.addCodeCB(InstPosition.PREINST, icbk);
vm.call(funcPtr,[99]);
最后就可以看到下面的结果啦。
Attaching...
0x1032c9ed0 push rbp
0x1032c9ed1 mov rbp, rsp
0x1032c9ed4 sub rsp, 32
0x1032c9ed8 mov dword ptr [rbp - 4], edi
0x1032c9edb mov dword ptr [rbp - 8], 0
0x1032c9ee2 cmp dword ptr [rbp - 4], 100
0x1032c9ee6 jle 28
0x1032c9f08 lea rdi, [rip + 117]
0x1032c9f0f mov al, 0
0x1032c9f11 call 66
0x1032c9f58 jmp qword ptr [rip + 4266]
0x1032c9f16 mov dword ptr [rbp - 24], eax
0x1032c9f19 add rsp, 32
0x1032c9f1d pop rbp
0x1032c9f1e ret
[Local::qbdi_template]->
因为我们传入到target_code的参数是99,小于100。不会执行num > 100的分支,可以看到是正确的执行路径。
