KLEE源码解析之klee_make_symbolic跟踪

kain posted @ 2011年12月03日 22:25 in KLEE with tags LLVM,KLEE, , 10946 阅读

使用klee时,一般要利用klee_make_symbolic函数,将要跟踪的变量标记为symbolic,但是klee是如何找到这个函数,并且对应标记的呢。。。。。

把klee_make_symbolic使用的分为两个过程,1。绑定 2.调用

 

1.绑定

在main.cpp中

 

line:1303
  Interpreter *interpreter = 
    theInterpreter = Interpreter::create(IOpts, handler);//////////调用static函数创建了interpretor
  handler->setInterpreter(interpreter);  ////////////设置了interpreter输出文件的路径??
 
line:1313
  const Module *finalModule = 
    interpreter->setModule(mainModule, Opts);.////////////////////////////在setModule函数中,完成了klee_make_symbolic函数到SpecialFunctionHandler::handleMakeSymbolic的绑定
 
 
 
Executor.cpp
跟踪Executor::setModule(Executor作为Interpreter的子类,实现了setModule虚函数)
 
line:348行
  specialFunctionHandler = new SpecialFunctionHandler(*this);/////实现了Executor::specialFuntionHandler变量与包含它的类变量的相互绑定
 
line:352
  specialFunctionHandler->bind();///////////////////////////////继续绑定过程
 
 
 
 
 
SpecialFunctionHandler.cpp
 
line:149   
Function *f = executor.kmodule->module->getFunction(hi.name);/////////利用llvm提供的功能函数,查找到对应的hi.name(这里为klee_make_symbolic)的Function指针
 
line:151
    if (f && (!hi.doNotOverride || f->isDeclaration()))//代码中存在klee_make_symbolic函数
      handlers[f] = std::make_pair(hi.handler, hi.hasReturnValue);///////////////////////  建立klee_make_symbolic函数返回指针和hi的对应关系,对应klee::SpecialFunctionHandler::handleMakeSymbolic() 
        
                      handlers_ty handlers;                                                      typedef std::map<const llvm::Function*, 
                                                                                                   std::pair<Handler,bool> > handlers_ty;
 
至此绑定结束
 
 
 
 
 
 
 
 
2.运行klee_make_symbolicd对应的handleMakeSymbolic函数
 
main.cpp
 
  if (!ReplayOutDir.empty() || !ReplayOutFile.empty())///////////感觉一直都为真吧???
 {
line1365
      interpreter->runFunctionAsMain(mainFn, out->numArgs, out->args, pEnvp);
 
 }

 

Executor.cpp

 

进入runFunctionAsMain函数

line3257

 

  run(*state);////////////  ExecutionState *state = new ExecutionState(kmodule->functionMap[f]);生成state,并完成一系列的初始工作
 
 
 
 
 
 
进入run函数
line2402
    while (!seedMap.empty())对应论文里面提到的state没有运行完,则程序继续运行
   {
line2415
      executeInstruction(state, ki);
   }
 
 
 
 
 
 
 
进入 executeInstruction(state, ki)函数
line1547
  case Instruction::Call: ///////指令作用为函数调用,顾名思义。。。
 {
line:1604
      executeCall(state, ki, f, arguments);
 
  }
 
 
 
 
 
 
 
 
 
进入 executeCall(state, ki, f, arguments);
函数头::
void Executor::executeCall(ExecutionState &state, 
                           KInstruction *ki,
                           Function *f,
                           std::vector< ref<Expr> > &arguments) {
 
line1125
      callExternalFunction(state, ki, f, arguments);
 
 
 
 
 
 
 
 
 
 
 
 
 
 
进入callExternalFunction(state, ki, f, arguments);
函数头:
void Executor::callExternalFunction(ExecutionState &state,
                                    KInstruction *target,
                                    Function *function,
                                    std::vector< ref<Expr> > &arguments) {
 
 
line2665
  if (specialFunctionHandler->handle(state, function, target, arguments))/////注意这里的Executor::specialFunctionHandler为Executore::setModule生成的
 
  
 
 
 
 
 
 
 
 
 
进入SpecialFunctionHandler::handle函数
SpecialFuntionHandler.cpp
line161-163
  handlers_ty::iterator it = handlers.find(f);
  if (it != handlers.end()) {    
    Handler h = it->second.first;/////////////找到对应的Handler
 
 
line170
   (this->*h)(state, target, arguments);调用klee_make_symbolic对应的处理函数handleMakeSymbolic(ExecutionState &state,
                                                KInstruction *target,
                                                std::vector<ref<Expr> > &arguments) 成功
 
 
 
 
 
 
 
下面,让我们看一下handleMakeSymbolic函数是如何实现symbolic的添加
 
void SpecialFunctionHandler::handleMakeSymbolic(ExecutionState &state,
                                                KInstruction *target,
                                                std::vector<ref<Expr> > &arguments) {
追踪下参数的来源
 
 
 
handleMakeSymbolic第三个参数::
Executor.cpp
executeInstruction()函数
line1559中
    std::vector< ref<Expr> > arguments;
line1563中
 arguments.push_back(eval(ki, j+1, state).value);
这是handleMakeSymbolic第三个参数的来源
 
 
 
 
第二个参数
 
Executor.cpp
run()函数中
2412行
KInstruction *ki = state.pc;////////当前状态,当前指令的位置
 
 
第一个参数
state也是在run()函数中选择出来的////论文里是两种方式interleave!!!有待考察!!!
 
 
 
 
 
SpecialFuntionHandler.cpp
line:683行
    if (res) {
      executor.executeMakeSymbolic(*s, mo, name);
       }
 
 
跟踪进入executeMakeSymbolic
Executor.cpp
line:3103
    const Array *array = new Array(uniqueName, mo->size);
    bindObjectInState(state, mo, false, array);
    state.addSymbolic(mo, array);
完成了符号symbolic的添加
 
 
 
 
 
Avatar_small
啊呗虹 说:
2013年2月28日 09:09

你好~我是南开大学的一个研究生,我们也在做符号执行方面,前段时间发现了klee,想分析一下它整个的结构然后在其上面做修改。但是由于我基础比较差,一直无从下手。看到你也有在研究klee这个开源软件,想向您请教一下,请问你是在什么环境下查看klee源码的以及是怎么跟踪分析的。。谢谢哈!

Avatar_small
nonoob 说:
2013年3月17日 23:58

@啊呗虹: 借这里问两位一个问题,http://kain.is-programmer.com/posts/30570.html这篇文章里面提到编译uclibc,请问有没有试过直接用clang来编译生成uclibc,posix的runtime的library(.bca文件)?谢谢

Avatar_small
啊呗虹 说:
2013年3月18日 12:19

@nonoob: 你好~你说的问题其实我也不是很懂。。那个,我看了你的博客,并加了你校内,你有时间可以接受好友一下吗?呵呵~我是南开大学的研一的硕士研究生,方向也是软件程序分析,我们实验室的一个项目组也在研究klee,希望有一些问题可以互相讨论~谢谢!O(∩_∩)O~

Avatar_small
曾杰 说:
2014年5月04日 17:01

我也是研一学生。我们实验室正在研究KLEE。希望和您们交流 我的QQ是 183247166 电话 18539947260@啊呗虹:

Avatar_small
曾杰 说:
2014年5月04日 17:02

@啊呗虹: 我也是研一学生。我们实验室正在研究KLEE。希望和您们交流 我的QQ是 183247166 电话 18539947260

Avatar_small
e.ahre 说:
2015年3月31日 21:14

@啊呗虹:
@曾杰:
两位好。我是华中科技大学的研究生。最近正在学习研究符号执行相关内容。是否方便相互交流学习?
如果接受清给我发邮件:162045568@qq.com
谢谢。


登录 *


loading captcha image...
(输入验证码)
or Ctrl+Enter