程序插桩

定义:往被测试程序中插入测试代码以达到测试目的的方法,插入的测试代码被称为探针。

方法:(测试代码插入的时间)

  1. 目标代码插桩
  2. 源代码插桩

目标代码插桩(动态程序分析方法)

特点:不需要代码重新编译或者链接程序,并且目标代码的格式和具体的编程语言无关,主要和操作系统相关。

原理:直接修改二进制程序(无需源码),在程序运行平台和底层操作系统之间建立中间层,通过动态中间层(如Pin、DynamoRIO)插入探针代码,监控内存、指令执行等

工具示例

  • Pin(Intel开发):用于动态二进制分析,支持指令跟踪、缓存模拟等,常用于大型软件(如Office)测试。
  • DynamoRIO:支持实时代码转换,适用于内存调试和性能分析。

源代码插桩

原理:在源代码编译前,通过词法、语法分析确定插桩位置,直接插入探针代码。例如在条件分支、循环或函数入口/出口处插入日志或断言。

示例:C代码在第13行插入宏ASSERT(y),用于检测除数是否为0:

#include <stdio.h>
#define ASSERT(y) if(y){ printf("出错文件:%s\n", __FILE__); \
                        printf("在第%d行:\n", __LINE__); \
                        printf("提示:除数不能为0!\n"); }
int main() {
    int x, y;
    scanf("%d%d", &x, &y);
    ASSERT(y == 0);  // 插桩点:检测除数合法性
    printf("%d", x / y);
    return 0;
}

y=0时,插桩代码会触发错误提示.

开源插桩工具

动态二进制插桩

  • Intel Pin

    • 特点:无需修改源码,通过运行时注入代码追踪程序执行路径,支持x86/ARM/MIPS等多架构。

    • 应用:性能分析(指令计数)、内存访问监控、安全漏洞检测。

    • 示例命令:用于统计指令数或检测缓冲区溢出

      pin -t <工具.so> -- <目标程序>

    • 项目地址Intel Pin

  • Frida

    • 特点:跨平台动态插桩框架,支持Android/iOS/Windows,通过JavaScript脚本注入实现Hook。

    • 应用:移动端逆向工程(如Hook ART核心函数)、实时监控方法调用。

    • 示例代码

      :Hook Android的 libart.so函数:

      JavaScriptInterceptor.attach(Module.findExportByName("libart.so", "art_method_invoke"), {
        onEnter: function(args) { console.log("Method called: " + args[0]); }
      });

    • 项目地址Frida

  • TinyInst

    • 特点:轻量级动态插桩库,仅对选定模块插桩,减少性能损耗,支持Windows/Linux/macOS。
    • 应用:模糊测试(如AFL++的覆盖率追踪)、模块级代码监控。
    • 项目地址TinyInst

静态源代码插桩

  • JaCoCo(Java Code Coverage)

    • 特点:基于字节码插桩,生成代码覆盖率报告,支持行、分支、方法级覆盖率统计。

    • 应用:单元测试覆盖率分析,集成到Maven/Gradle构建流程。

    • 配置示例:在pom.xml中添加插件:

      <plugin>
        <groupId>org.jacoco</groupId>
        <artifactId>jacoco-maven-plugin</artifactId>
      </plugin>

    • 项目地址JaCoCo

  • OpenTelemetry

    • 特点:跨语言遥测框架(支持Java/Python/Go),提供标准化指标、日志、跟踪数据收集。

    • 应用:分布式系统性能监控,与Prometheus/Grafana集成。

    • 示例:在Python中插桩HTTP请求耗时

      from opentelemetry import trace
      tracer = trace.get_tracer(__name__)
      with tracer.start_as_current_span("http_request"):
          requests.get("https://example.com")

    • 项目地址OpenTelemetry

编译器级插桩

  • LLVM Sanitizer

    • 特点:基于LLVM中间表示的插桩,支持ASAN(内存检测)、UBSan(未定义行为检测)。

    • 应用:C/C++程序内存错误检测(如堆溢出、释放后使用)。

    • 编译选项:clang -fsanitize=address -g program.c

  • AFL(American Fuzzy Lop)

    • 特点:覆盖率引导的模糊测试工具,通过插桩追踪边覆盖率优化测试用例生成。
    • 应用:漏洞挖掘(如触发程序崩溃路径)。
    • **插桩原理:**在编译时注入覆盖率统计代码,共享内存记录执行路径
    • 项目地址AFL

如何选择插桩方法

场景 推荐方法 工具示例
需高精度测试(有源码) 源代码插桩 GCC插桩、ASSERT宏
闭源程序分析 目标代码插桩 Pin、DynamoRIO
实时性能监控 动态二进制插桩 Frida、DynamoRIO
大规模覆盖率统计 自动化插桩工具 OpenTelemetry

通过上述分类与示例可见,程序插桩是连接静态分析与动态执行的关键技术,广泛应用于软件工程的全生命周期。实际应用中需权衡精度、效率与侵入性,结合具体场景选择工具和策略。

如何使用插桩工具

第1步:选择工具

常用工具及适用场景:

工具 特点 适用场景
Intel Pin 支持Windows/Linux,适合指令级监控(如统计指令执行次数) 性能分析、漏洞挖掘
DynamoRIO 支持内存调试、代码覆盖率统计,模块化接口更灵活 逆向工程、安全检测
Frida 支持移动端(Android/iOS),通过JavaScript脚本快速插桩 App逆向、动态调试

第2步:编写探针逻辑(以Intel Pin为例)

假设我们要统计程序中所有加法指令的执行次数:

#include "pin.H"

// 定义全局计数器
UINT64 addCount = 0;

// 插入探针代码的函数
VOID CountAdd() {
    addCount++;
}

// 检测指令是否为加法指令
VOID Instruction(INS ins, VOID *v) {
    if (INS_IsAdd(ins)) { // 如果是加法指令
        // 在指令执行前插入探针函数
        INS_InsertCall(ins, IPOINT_BEFORE, (AFUNPTR)CountAdd, IARG_END);
    }
}

int main(int argc, char *argv[]) {
    PIN_Init(argc, argv);
    INS_AddInstrumentFunction(Instruction, 0); // 注册指令级插桩函数
    PIN_StartProgram(); // 启动目标程序
    return 0;
}

这段代码的作用是:每当程序执行加法指令时,计数器addCount加1 。

第3步:编译与运行

  1. 编译Pintool(Pin的插桩工具):

    # 进入Pin的示例目录
    cd pin-3.11/source/tools/ManualExamples
    # 编译(以64位Linux为例)
    make obj-intel64/add_counter.so TARGET=intel64

  2. 运行目标程序并插桩:

    # 假设目标程序是test.exe
    ../../../pin -t obj-intel64/add_counter.so -- ./test.exe

  3. 查看结果:程序运行结束后,会在终端输出加法指令的总执行次数。