在Pin工具中调用函数时出现分段故障

Question

我目前正在构建一个引脚工具，它检测来自Linux应用程序的未初始化读取，基于此blog post。

您还可以从博客中查看作者的代码。

因为这个是针对Windows的，所以我尝试创建一个与Linux兼容的版本。但是当我用应用程序执行我的Pin工具时，出现了分段错误。奇怪的是，错误发生在调用函数时(当引脚工具调用taint_define函数中的函数taint_get时，错误就会发生)，而不是因为访问未初始化的堆指针或一般分段故障点。

分段故障的原因如下所示：

VOID Instruction(INS ins, VOID *v)
{
   Uninit_Instruction(ins, v);
}

void Uninit_Instruction(INS ins, void* v)
{
   // check if the stack pointer is altered (i.e. memory is allocated on the
   // stack by subtracting an immediate from the stack pointer)
   if(INS_Opcode(ins) == XED_ICLASS_SUB &&
      INS_OperandReg(ins, 0) == REG_STACK_PTR &&
      INS_OperandIsImmediate(ins, 1)) 
   {
      // insert call after, so we can pass the stack pointer directly
      INS_InsertCall(ins, IPOINT_AFTER, (AFUNPTR)taint_undefined,
             IARG_REG_VALUE, 
             REG_STACK_PTR, 
             IARG_ADDRINT, (UINT32) INS_OperandImmediate(ins, 1),
             IARG_END);
   }

   UINT32 memOperands = INS_MemoryOperandCount(ins);

   for (UINT32 memOp = 0; memOp < memOperands; memOp++)
   {
      if (INS_MemoryOperandIsRead(ins, memOp))
      {
     INS_InsertCall(ins, IPOINT_BEFORE, (AFUNPTR)taint_check,
            IARG_INST_PTR,
            IARG_MEMORYOP_EA, memOp,
            IARG_MEMORYREAD_SIZE,
            IARG_END);
      }

      if (INS_MemoryOperandIsWritten(ins, memOp))
      {
     INS_InsertCall(ins, IPOINT_BEFORE, (AFUNPTR)taint_define,
            IARG_MEMORYOP_EA, memOp,
            IARG_MEMORYWRITE_SIZE,
            IARG_END);
      }
   }

}

回调函数如下所示：

// Taint this address as written
void taint_define(ADDRINT addr, UINT32 size)
{
   // Debug purpose
   TraceFile << "taint_define: " << addr << ", " << size << endl;

   // taint the addresses as defined, pretty slow, but easiest to implement
   for (UINT32 i = 0; i < size; i++) 
   {
      //TraceFile << "taint_define_loop size: " << size << endl;
      UINT32 *t = taint_get(addr + i);
      TraceFile << "after taint_get" << endl;
      UINT32 index = (addr + i) % 0x20000;

      // define this bit
      t[index / 32] |= 1 << (index % 32);
   }
}


inline UINT32* taint_get(ADDRINT addr)
{
   // Debug purpose
   TraceFile << "taint_get: " << addr;

   // allocate memory to taint these memory pages
   if(taint[addr / 0x20000] == NULL) {
      // we need an 16kb page to track 128k of memory
      /*
        taint[addr / 0x20000] = (UINT32 *) W::VirtualAlloc(NULL, 0x20000 / 8,
    MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
      */
      taint[addr / 0x20000] = (UINT32*)malloc(0x20000/8);
   }

   return taint[addr / 0x20000];
}

输出如下所示：

C:Tool (or Pin) caused signal 11 at PC 0x7fcf475e08a4
segmentation fault (core dumped)

日志在这里。

Watched Image count: 0x1
WatchedImage: unread_3vars
Uninit_Image
Uninit_Image
Thread start
taint_define: 0x7fff06930d58, 0x8

我目前正在开发Fedora core 17 x86-64、gcc 4.7.2和Pin2.12-58423。

而且，我的pin工具代码是here附件

Answer 1

基于这篇博文，我目前正在构建一个

工具，它可以检测来自Linux应用程序的未初始化读取。

这并没有真正回答你的问题，你可能有其他原因来学习Pin工具，但是...

我们发现基于Pin的工具不适合用于插装非玩具程序。如果您的目标是检测未初始化的内存读取，请考虑使用Memory Sanitizer。

Answer 2

readb4write仅为32位。我不知道你是如何编译它的，但即使你添加了-m32，它也可能无法工作。这就是在我的例子中发生的事情，但我在Windows上运行它。

你可以通过查看注释"// we use 0x8000 chunks of 128k to污点“来判断它是32位。

0x8000 x 128kb = 4294967296，这是32位进程的虚拟范围限制。

在x64上，您需要在taint_get方法中迎合48 bit addresses。这仍然是一个幼稚的实现，但其他一切都是如此。

typedef UINT64 * TTaint[0x80000];
TTaint *taintTable[0x10000] = { 0 };


inline UINT64 *taint_get(ADDRINT addr)
{
   UINT64 chunkAddress = addr / 0x20000; //get number address of 128kb chunk. 

   UINT64 firstLevAddr = chunkAddress / 0x10000;
   UINT64 secondLevelAddr = chunkAddress % 0x10000;

   TTaint *taint = NULL;
   if (taintTable[firstLevAddr] == NULL){
       taintTable[firstLevAddr] = (TTaint*)W::VirtualAlloc(NULL, sizeof(TTaint),
        MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
    }
   taint = taintTable[firstLevAddr];

   // allocate memory to taint these memory pages
   if ((*taint)[secondLevelAddr ] == NULL) {
      // we need an 16kb page to track 128k of memory
        (*taint)[secondLevelAddr] = (UINT64 *)W::VirtualAlloc(NULL, 0x20000 / 8,
            MEM_COMMIT | MEM_RESERVE, PAGE_READWRITE);
   }
   return (*taint)[secondLevelAddr];
}

此外，大多数(如果不是全部)变量需要是UINT64而不是UINT32。和32需要更改为64。

还有一个问题我还没有解决。有一行检测访问未初始化内存的指令是否属于被检查的程序。它不太可能在x64中仍然有效：

  (ip & 0xfff00000) == 0x00400000)  

如果我能让它正常工作，我会在github中发布代码。