测试在 32 位 x86 Linux 上进行。
所以基本上我试图通过在汇编代码中插入检测指令来记录已执行的基本 block 的信息。
我的策略是这样的:将一个已执行的基本 block 的索引写在一个globl数组中,当数组满(16M)时,将数组从内存刷新到磁盘。
这是我的问题。当检测二进制文件的执行结束时,我需要将阵列刷新到磁盘,即使它没有达到 16M 边界。但是,我只是不知道在哪里可以找到assembly 程序的导出。
我试过这个:
grep exit 从目标汇编程序中,并在 call exit 指令之前刷新内存。但根据一些调试经验, objective-c 程序,例如 md5sum 二进制文件,在执行完成时不会调用 exit。
在 main 函数结束时刷新内存。但是,在汇编代码中,我只是不知道 main 函数的确切结束位置在哪里。我可以采取保守的方法,比如说,寻找所有的 ret 指令,但在我看来并不是所有的 main 函数都以 ret指令。
所以这是我的问题,如何识别 assembly code 的确切执行结束,并在那里插入一些检测指令? Hook 一些库代码对我来说很好。我知道在不同的输入下,二进制可能会在不同的位置退出,所以我想我需要一些保守的估计。我清楚吗?谢谢!
最佳答案
我相信在一般情况下您不能这样做。首先,如果 main 正在返回一些代码,它是一个退出代码(如果 main 没有明确的 return 最近的 C 标准要求编译器添加一个隐式 return 0;)。然后函数可以将 exit 的地址存储在一些数据中(例如全局函数,struct 中的字段,...),以及一些other 函数可以间接 通过函数指针调用它。实际上,程序可以使用 dlopen 加载一些插件,并使用 dlsym 作为 “exit” 名称,或者简单地调用 exit 在插件内部等... AFAIU 完全通用地解决该问题(在动态意义上找到实际的 exit 调用)可以证明等同于 halting problem .另见 Rice's theorem .
在不要求详尽方法的情况下,我会建议一些其他方法(假设您对检测用 C 或 C++ 等编码的程序感兴趣...您可以使用其源代码)。您可以使用 MELT 自定义 GCC 编译器更改 GCC 内部处理的基本 block 以调用您的一些检测函数。这不是微不足道的,但它是可行的......当然,您需要使用这样一个定制的 GCC 重新编译一些 C 代码以对其进行检测。
(免责声明,我是 MELT 的主要作者;如需更多信息,请随时与我联系...)
顺便说一句,你知道atexit(3)吗? ?它可能对您的冲洗问题有所帮助...您也可以使用 LD_PRELOAD 技巧(阅读 dynamic linkers ,参见 ld-linux(8) )。
关于c - 如何找到C程序的 "exit",我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31568477/
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
我需要在客户计算机上运行Ruby应用程序。通常需要几天才能完成(复制大备份文件)。问题是如果启用sleep,它会中断应用程序。否则,计算机将持续运行数周,直到我下次访问为止。有什么方法可以防止执行期间休眠并让Windows在执行后休眠吗?欢迎任何疯狂的想法;-) 最佳答案 Here建议使用SetThreadExecutionStateWinAPI函数,使应用程序能够通知系统它正在使用中,从而防止系统在应用程序运行时进入休眠状态或关闭显示。像这样的东西:require'Win32API'ES_AWAYMODE_REQUIRED=0x0
关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。
我正在尝试测试是否存在表单。我是Rails新手。我的new.html.erb_spec.rb文件的内容是:require'spec_helper'describe"messages/new.html.erb"doit"shouldrendertheform"dorender'/messages/new.html.erb'reponse.shouldhave_form_putting_to(@message)with_submit_buttonendendView本身,new.html.erb,有代码:当我运行rspec时,它失败了:1)messages/new.html.erbshou
我在从html页面生成PDF时遇到问题。我正在使用PDFkit。在安装它的过程中,我注意到我需要wkhtmltopdf。所以我也安装了它。我做了PDFkit的文档所说的一切......现在我在尝试加载PDF时遇到了这个错误。这里是错误:commandfailed:"/usr/local/bin/wkhtmltopdf""--margin-right""0.75in""--page-size""Letter""--margin-top""0.75in""--margin-bottom""0.75in""--encoding""UTF-8""--margin-left""0.75in""-
给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru
我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t
我正在寻找执行以下操作的正确语法(在Perl、Shell或Ruby中):#variabletoaccessthedatalinesappendedasafileEND_OF_SCRIPT_MARKERrawdatastartshereanditcontinues. 最佳答案 Perl用__DATA__做这个:#!/usr/bin/perlusestrict;usewarnings;while(){print;}__DATA__Texttoprintgoeshere 关于ruby-如何将脚
Rackup通过Rack的默认处理程序成功运行任何Rack应用程序。例如:classRackAppdefcall(environment)['200',{'Content-Type'=>'text/html'},["Helloworld"]]endendrunRackApp.new但是当最后一行更改为使用Rack的内置CGI处理程序时,rackup给出“NoMethodErrorat/undefinedmethod`call'fornil:NilClass”:Rack::Handler::CGI.runRackApp.newRack的其他内置处理程序也提出了同样的反对意见。例如Rack
