原创 看雪学苑
什么是控制流还原
所谓控制流还原,通俗的讲就是将CFG还原成由if、while、for等组成的高级抽象结构。如下图有个控制流图,他的边本身是个jump,反编译器需要理解控制流的结构,把条件分支和循环识别出来。
反编译器中的控制流还原
控制流还原部分处于反编译步骤的最后几步,在反编译器中端IR优化完成之后,再通过算法将CFG还原成由if、while、for等组成的高级抽象。
《高级编译器的设计与实现》第7章的结构分析技术
鲸书的第七章描述了一个叫做"结构分析"的控制流恢复的算法。其原理大致是预置好各种流图模式,然后在CFG中寻找能对应上的模式后,把流图按照规则进行"塌缩",直到塌缩成一个点就完成分析了。
这样说十分的抽象,举例说明。
预置模式
流图塌缩
什么是"不可规约"流图
使用“结构化分析”这种技术,比较麻烦的问题是对“不可规约”流图的处理。
所谓“不可规约流图”,通俗的说,就是一个CFG无法套用上面任何一种规则进行“塌缩”。
比较典型的“不可规约流图”有多入口的循环,多出口的循环等等,我这里从书里找了几个典型的“不可规约流图”的例子:
为什么会产生不可规约流图?
虽然源码中,不可规约的情况很少很少。但是,在编译的大型二进制产物中,不可规约流图十分常见。
其主要原因是,编译器对源码的优化会修改CFG,产生不可规约的情况,我以比较好理解的编译器的尾融合(tail-merging或cross-jumping)优化为例;
在这个优化中,编译器寻找最后几条指令相同的两个基本块,若这两个基本块都转移到同一个位置,就将这两个基本块的代码尾部合并,以此来缩小编译产物的代码规模。
示例源码:
int fun(int a, int b)
{
int ret = 0;
if (getchar() > 0x10) {
ret = a+b;
} else {
ret = a-b;
if (getchar()>0x20) {
printf("hello");
printf("ret=xx");
return ret;
}
}
printf("hi");
printf("ret=xx");
return ret;
}
编译器优化中发现, printf("ret=xx"); return ret; 这两句代码完全一致,为了减少代码量就插入一个goto语句将这两个尾部进行融合。
int fun(int a, int b)
{
int ret = 0;
if (getchar() > 0x10) {
ret = a+b;
} else {
ret = a-b;
if (getchar()>0x20) {
printf("hello");
goto LABEL
}
}
printf("hi");
LABEL:
printf("ret=xx");
return ret;
}
如下图:
很明显,这就是一个典型的"不可规约"流图,《鲸书》中第七章将也有专门提到这种无法规约的场景。
由于这种流图无法正常规约,那么IDA这种反编译器对付的方法就是插入一个GOTO语句进行缓解。
为什么IDA F5后的代码会有GOTO语句?
当前,通用的反编译器,比如IDA/Ghidra等使用的控制流还原技术都是基于“结构化分析”,为了解决不可规约流图的问题,反编译器选用了一种保守的方案:"删除边"后使用goto替代。并重新进行塌缩。这也是为什么F5后的代码会有GOTO语句的原因。
还是之前那个代码,IDA反编译后会插入goto语句解决这个问题。
简单的说就是下面这样处理:
