e9patch

E9Patch — это мощный статический инструмент перезаписи двоичных файлов для двоичных файлов ELF Linux x86_64 . E9Patch — это:

• Масштабируемость : E9Patch может надежно перезаписывать большие/сложные двоичные файлы, включая веб-браузеры (размером> 100 МБ).
• Совместимость : переписанный двоичный файл представляет собой замену оригинала без каких-либо дополнительных зависимостей.
• Быстро : E9Patch может переписать большинство двоичных файлов за несколько секунд.
• Низкие накладные расходы : как производительность, так и память.
• Программируемость : E9Patch разработан таким образом, чтобы его можно было легко интегрировать в другие проекты. Дополнительную информацию см. в Руководстве пользователя E9Tool и Руководстве программиста E9Patch.

Статическая перезапись двоичных файлов берет входной двоичный файл (исполняемый файл ELF или общий объект) и генерирует выходной двоичный файл с примененными к нему некоторыми исправлениями/модификациями. Исправленный двоичный файл можно использовать в качестве замены оригинала.

Более подробную информацию можно найти в нашем документе PLDI'2020:

• Грегори Дж. Дак, Сян Гао, Абхик Ройчоудхури, Двоичное переписывание без восстановления потока управления, Проектирование и реализация языка программирования (PLDI), 2020. Презентация PLDI'2020

Готовые двоичные файлы E9Patch можно скачать здесь:

• https://github.com/GJDuck/e9patch/releases

Собрать E9Patch очень просто: просто запустите скрипт build.sh .

Это автоматически создаст два инструмента:

1. e9patch : серверная часть перезаписи двоичных файлов; и
2. e9tool : интерфейс линейной дизассемблирования для E9Patch.

E9Patch можно использовать через интерфейс E9Tool.

Например, чтобы добавить инструменты печати инструкций ко всем инструкциям xor в xterm , мы можем использовать следующую команду:

    $ ./e9tool -M 'asm=/xor.*/' -P print xterm

Это создаст модифицированную версию xterm , записанную в файл a.out .

Модифицированный xterm можно запустить как обычно, но он выведет ассемблерную строку каждой выполненной инструкции xor в stderr :

    $ ./a.out
    xorl %ebp, %ebp
    xorl %ebx, %ebx
    xorl %eax, %eax
    xorl %edx, %edx
    xorl %edi, %edi
    ...

Полный список поддерживаемых опций и режимов см.:

    $ ./e9tool --help

Исправьте все инструкции перехода с «пустыми» инструментами:

    $ ./e9tool -M 'asm=/j.*/' -P empty xterm
    $ ./a.out

Распечатайте все инструкции по прыжкам с помощью инструментов «печати»:

    $ ./e9tool -M 'asm=/j.*/' -P print xterm
    $ ./a.out

То же, что и выше, но используйте синтаксис Intel:

    $ ./e9tool -M 'asm=/j.*/' -P print xterm --syntax=intel
    $ ./a.out

Исправьте все инструкции перехода вызовом пустой функции:

    $ ./e9compile.sh examples/nop.c
    $ ./e9tool -M 'asm=/j.*/' -P 'entry()@nop' xterm
    $ ./a.out

Исправьте все инструкции перехода с помощью инструментов подсчета инструкций:

    $ ./e9compile.sh examples/counter.c
    $ ./e9tool -M 'asm=/j.*/' -P 'entry()@counter' xterm
    $ FREQ=10000 ./a.out

Исправьте все инструкции по переходу красивыми печатными инструментами:

    $ ./e9compile.sh examples/print.c
    $ ./e9tool -M 'asm=/j.*/' -P 'entry(addr,instr,size,asm)@print' xterm
    $ ./a.out

Исправьте все инструкции перехода с помощью инструментов «задержки», чтобы замедлить работу программы:

    $ ./e9compile.sh examples/delay.c
    $ ./e9tool -M 'asm=/j.*/' -P 'entry()@delay' xterm
    $ DELAY=100000 ./a.out

Примечания :

• Протестировано для XTerm(322)

Некоторые другие проекты, использующие E9Patch, включают:

• RedFat: двоичная система усиления, основанная на указателях с низким содержанием жира.
• E9AFL: Автоматически вставлять инструменты AFL в двоичные файлы.
• E9Syscall: перехват системных вызовов с использованием статической двоичной перезаписи libc.so
• Hopper: автоматическая генерация тестовых примеров фаззинга для библиотек.
• EnvFuzz: фаззинг программной среды.
• RFF: фаззинг Greybox для тестирования параллелизма.
• AutoTrace: простая трассировка на основе исходных линий.

E9Patch — это инструмент низкого уровня, предназначенный для интеграции в другие проекты. Чтобы узнать больше, ознакомьтесь со следующей документацией:

• Руководство программиста E9Patch
• Руководство пользователя E9Tool

Сообщить об ошибках можно здесь:

• https://github.com/GJDuck/e9patch/issues

Текущая версия E9Patch значительно улучшена по сравнению с исходным прототипом, описанным в документе PLDI'2020. Конкретно:

• Текущая версия реализует несколько новых оптимизаций и может генерировать значительно более быстрые двоичные файлы, иногда в 2 раза. Чтобы включить новые оптимизации, передайте параметр -O2 в E9Tool.
• Также была улучшена реализация оптимизации пространства при группировке физических страниц .
• Покрытие исправлений также было немного улучшено.
• Реализовано множество новых функций (см. документацию).

Это программное обеспечение выпущено под лицензией GNU Public License (GPL) версии 3.

Некоторые конкретные файлы выпускаются под лицензией MIT (проверьте преамбулу файла).

Эта работа частично поддерживалась Национальным спутником передового опыта в области надежных программных систем, финансируемым Национальным исследовательским фондом (NRF) Сингапура в рамках Национальной программы исследований и разработок в области кибербезопасности (NCR).