search

补充章节-论文阅读:using-sailr-on-angr-decompiler

补充章节+论文阅读+结构化分析+Ahoy SAILR! There is No Need to DREAM of C: A Compiler-Aware Structuring Algorithm for Binary Decompilation

hashtag
简介

论文标题:

《Ahoy SAILR! There is No Need to DREAM of C: A Compiler-Aware Structuring Algorithm for Binary Decompilation》

代码Github地址:

LogoGitHub - mahaloz/sailr-eval: The SAILR paper's evaluation pipline for measuring the quality of decompilationGitHubchevron-right

hashtag
论文作者

Zion Leonahenahe Basque(mahaloz)

作者是shellphish成员,angr的开发者之一,这也可以解释为什么论文的代码实现使用了angr。

作者的个人博客:https://mahaloz.re/about.htmlarrow-up-right

个人主页:https://www.zionbasque.com/arrow-up-right

github:https://github.com/mahalozarrow-up-right

hashtag
"我"的评价

我认为,这篇论文的价值不在于它的优化算法,以及和DREAK论文的比较部分。

它的价值在于:

第一:作者从真正逆向工程的角度出发,提出了适用于判断反编译生成CFG结构优劣的标准+算法,即和源码直接比较。之前的算法都是从圈复杂度,goto数量等等源码的判断方法出发,而忽略了可读性这个最重要的指标。

第二:作者详细的分析了编译器的哪些编译优化选项会生成不可规约的CFG图,这是一个比较繁琐的工作。熟悉这些编译选项以及优化方法,对于逆向工程有很大的帮助。

hashtag
反编译的控制流还原

在我之前的文章arrow-up-right,有一些简略的介绍。这里快速的总结一下。

hashtag
什么是控制流还原?

在反编译器的执行过程中,控制流还原的目标是将CFG还原成由if、while、for等组成的高级抽象结构。如下图有个控制流图,他的所有边在汇编中只是个jmp,反编译器需要理解控制流的结构,把条件分支和循环识别出来。

最终,生成更高级的,更上层的控制流结构更适合人类阅读与理解,毕竟正常人应该很难理解全是goto的CFG结构,相比之下分支和循环就好理解多了。

hashtag
主流反编译器的控制流还原算法如何实现?

主流的反编译,也就是IDA和Ghidra,所使用的控制流还原算法来自于编译器的【结构分析】技术。

可以参考鲸书:《高级编译器的设计与实现》第7章。其原理大致是预置好各种流图模式,然后在CFG中寻找能对应上的模式后,把流图按照规则进行"塌缩",直到塌缩成一个点就完成分析了。

参考下面这张图,塌缩的规则:

以及一个还原的案例:

hashtag
什么是“可规约的图”?

在学术上结构化分析的前提条件是控制流图必须是可规约的。

“可规约”可以简单的理解为,这个图能够按照一定的“塌缩规则”,最终压缩成一个点。否则这个CFG图无法正常的进行还原。

hashtag
主流反编译器的控制流还原算法有什么缺陷?

如下图,节点2是个典型if结分支构,但是他的后继节点3却不被节点2支配;

所谓不被支配,意思是有一个【节点1 到节点3】 的路径绕不经过节点2,因此节点3与节点4不被节点2支配。

这违反了SESE(single entry + single exit)的well-define结构化分析规则。

所以,结构化分析还原的理论上来说,“钻石形”的cfg是不可规约的的,无法被正常还原。

hashtag
为什么会出现这种缺陷?

正常写代码,只要不使用goto等非常规语法,写出来的代码控制流结构都是可以被还原的。

但是,编译器会对cfg图进行优化,主要目的是精简重复代码,减少条件判断语句增加效率等等。这一系列的优化可能会生成不可规约的控制流结构,造成【结构分析】技术无法正常还原,只能将边删除后插入goto来缓解。

虽然我之前的文章arrow-up-right已经给了一个案例;不过《Ahoy SAILR! There is No Need to DREAM of C: A Compiler-Aware Structuring Algorithm for Binary Decompilation》这篇论文做得更加完美。

他将GCC编译器中能对控制流造成影响,会产生不可规约图结构的编译选项全部列了出来,还给出了影响程度的分析。

hashtag
补充:为什么从理论上来说,“钻石形”的cfg无法被还原

如图,节点2明显是个if语句的入口,但是他的后继节点3却不被节点2支配;即,可以从节点1 ->节点3 这个路径绕过去;

因此节点3和节点4不被节点2支配,所以违反了SESE(single entry + single exit)的well-define结构化分析规则,所以“钻石形”的cfg无法被还原!

hashtag
论文的主要目的

我们从论文的标题看起,这就很有趣。

《Ahoy SAILR! There is No Need to DREAM of C: A Compiler-Aware Structuring Algorithm for Binary Decompilation》

标题中的“DREAM”指的是NDSS 2015的论文 《No More Gotos: Decompilation Using Pattern-Independent Control-Flow Structuring and Semantics-Preserving Transformations》,后续用Dream来指代。

2015年的Dream论文提出了一种与图匹配完全不同的方式:排序路径和抵达路径的条件,然后顺序的组装出条件代码配合图优化;这种方法从理论上证明了任何一个cfg图都能还原成不包含goto语句的控制流结构。

那么,SAILR这篇论文看标题就知道是反驳DREAM的方法,论文的主要观点是,没有goto或者说goto-less的结构并不意味着生成源码可读性高,还是应该在原有的结构化算法回归并改进。

hashtag
补充:Dream论文的goto-less方案

Dream论文-ndss2015:https://net.cs.uni-bonn.de/fileadmin/ag/martini/Staff/yakdan/dream_ndss2015.pdfarrow-up-right

这篇论文的贡献是,相比于传统的“结构化分析”技术,论文提出了一种完全不同的方法。

这种方法从理论上证明,不用考虑图规约问题,任意的cfg图都能还原成不包含goto语句的高级控制流结构。

具体还原方法请参考目录里关于dream/no-more-goto的补充章节(可能没写完)

hashtag
论文主体

首先,论文提出了no-more-goto这篇论文中将所有的goto全部消除这种做法不可取,提出了以下的观点:

  • 虽然goto-less算法具有先进性,但是会大规模的修改cfg,导致降低可读性。

  • 在现实中,有的代码里就是有goto的(把这部分的goto优化反而导致可读性降低),需要有区分的判断。

  • 反编译结果的可读性不应当以生成的goto多少进行判断,应当与编译前的源码结构进行比较

  • 编译优化是产生的不可规约控制流的主要原因。

  • 当前反编译的结构化的技术要不是没有开源,要不是太久没有更新了,需要针对于特定编译器的更先进的反编译技术。

hashtag
编译器优化对于控制流的影响

既然导致不可规约控制流产生的主要原因是编译选项,反编译器设计的时候就需要明确,那些编译选项会有这些影响?

论文的测试方法:使用GCC编译器开启O2优化后,分别关掉各个优化选项;使用IDA反编译整个二进制,统计生成goto语句的数量,论文结果如下。

可以看出,生成goto语句影响较大的编译选项有以下两个:

  • A:Jump Threading

  • D:Cross Jumping

而且,哪怕使用O0进行编译,还是会有goto语句生成。

下面稍微解释一下这些编译选项对于控制流的影响。

hashtag
A:Jump Threading

参考wiki:https://en.wikipedia.org/wiki/Jump_threadingarrow-up-right 中的例子,Jump Threading编译优化方案用于简化条件逻辑,可以有效的减少分支判断次数。由于现代CPU流水线和分支预测的特性,减少分支判断可以显著提升性能。

插入的基本块会影响控制流结构

hashtag
B:Common Subexpression Elimination(CSE)

LogoCommon subexpression eliminationWikipediachevron-right

参考本书主要章节对于CSE优化的说明,编译器可能会将多条CSE语句压缩到一个块里,然后进行跳转。

hashtag
C:Switch Conversion

和上面的CSE类似,只不过条件更为苛刻,对于swich中的赋值语句,编译器可能会通过goto来压缩语句,优化前的示例代码:

优化后,将两个case尾部相同的代码使用goto连接,压缩代码大小。

hashtag
D:Cross Jumping

参考我之前的文章arrow-up-right “为什么IDA F5后的代码会有GOTO语句?” 中的案例

优化前的代码:

编译器优化中发现, printf("ret=xx"); return ret; 这两句代码完全一致,为了减少代码量就插入一个goto语句将这两个尾部进行融合。优化后插入了goto。

如下图

hashtag
E:Software Thread Cache Reordering

没太读明白,看着意思是在多线程情况下,对于热点代码,通过代码复制增加效率

hashtag
F:Loop Header Optimizations

循环头部提取优化(循环不变优化)

对于循环体内开头不变且不受循环影响的部分,提取到循环体外避免每次都执行,但是如果这部分代码中有跳转,就会导致出现goto语句。

简单代码案例:

编译器优化后会将g_datas 的判断移出来

hashtag
G:Builtin Inlining

为了执行效率,编译器会把strcmp memset这种函数用内置的汇编inline掉。因而这部分代码中的判断条件会产生goto语句

hashtag
H:Switch Lowering

对于大型switch语句的二分与hash化查找优化,可能会产生goto语句

hashtag
I:no-return function

参考主体章节中“间接跳转与间接调用的处理”中关于no-return的内容

exit等这一类函数执行后永远不会返回,编译器也就不再生成后续的代码。

如果反编译器没有正确的识别并传播这类信息,就会导致多加一个边,进而产生反编译问题。

hashtag
如何判断反编译的结构化分析效果

之前的反编译论文中,往往以goto 数量+圈复杂度+代码行数对反结构化分析效果在进行评测。

但是,论文中指出,无论是goto 数量/圈复杂度/代码行,这都是对源码的分析方法,对于二进制的反编译结果并不是那么可靠。

最可靠的方法应当是:默认源代码的可读性是最优的,直接拿编译前的源代码和反编译F5后的结果进行对比。

论文提出了使用GED(Control-Flow Graph Edit Distance)图距离算法(这个指标以前用于二进制的图相似度匹配)但是GED是一个NP-hard问题且开销很高。因此做了一个简化版本的GED算法,我不是算法专家,不做展开。

hashtag
对于不可规约控制流的还原的研究

既然上面的章节提出并整理了编译选项对于控制流的影响,作者提出了三种修改的控制流的场景。分别为

  • ISD:Irreducible Statement Duplication(A/E/F)编译器将一个语句扩展成多个语句的场景。

  • ISC:Irreducible Statement Condensing (B/C/D)编译器将多个语句压缩成单个语句的场景。

  • MISC:不属于上面两类的都算在这里。

这些优化所有的目的都是为了生成更适合人类阅读的控制流图。

hashtag
对抗ISD优化

ISD:Irreducible Statement Duplication,指的是编译器将一个语句扩展成多个语句的优化场景。

对于反编译器,需要把重复的语句合并掉,来生成更好的控制流图。

反编译器优化案例如下:

算法步骤概要

  • KMP算法,寻找一个CFG中完全重复的两段代码对。

  • 寻找满足要求的代码对,1. 代码对后续存在一个goto语句导致控制流不完整; 2. 它们的后继节点是同一个(中间可以插入其它节点)

  • 将两个重复代码合并成一个节点,判断节点的进出条件,重新组装CFG

hashtag
对抗ISC优化

ISC:Irreducible Statement Condensing ,指的是编译器将多个语句压缩成单个语句的优化场景。

反编译器的优化核心是找到合适的需要重复的代码,通过复制CFG的节点来减少最后的不可规约场景。如果一个goto语句的后继节点通过复制可以减少goto 的数量,那就执行优化。

当然,这个优化算法有着明显的性能问题,为了知道拿个边是goto语句,需要先完成至少一轮的结构分析。

hashtag
其它(MISC)类型优化

不是主要内容,跳过。

hashtag
效果展示

可以看到,使用论文中的GED图距离算法对比源码和反编译后的CFG图,SAILR有着明显的优势。

而DREAM的goto-less算法虽然goto的数量没有,但是GED却很高。

Previous8. 案例分析:Ghidra-0

Last updated