AFL源码学习与Fuzzing技术详解<\/h1>

前言<\/h2>
本文基于AFL-2.57b版本源码，深入分析AFL(American Fuzzy Lop)的实现原理和关键技术点。AFL是一款革命性的模糊测试工具，通过编译时插桩和覆盖率引导，实现了高效的漏洞挖掘能力。<\/p>

AFL整体架构<\/h2>

AFL运行时包含三个主要进程：<\/p>

fuzzer<\/strong>：主控制进程，负责变异策略和调度<\/li>
fork server<\/strong>：用于快速fork子进程<\/li>

child<\/strong>：实际执行目标程序的进程<\/li> <\/ol>
初始化流程<\/h2>
1. 参数处理与环境设置<\/h3>
main() -><\/span> 随机化种子<\/span> -><\/span> 处理<\/span>argv参数<\/span> -><\/span> 信号处理设置<\/span> <\/span><\/span><\/code><\/pre>信号处理设置：<\/p> SIGHUP\/SIGINT\/SIGTERM：设置stop_soon标志，关闭fork server和child<\/li> SIGALRM：处理超时，关闭child或fork server<\/li> SIGWINCH：UI显示警告<\/li> SIGUSR1：设置skip_requested标志，跳过当前样例变异<\/li> <\/ul> 2. 安全检查<\/h3> check_asan_opts()<\/code>检查ASAN和MSAN配置：<\/p> ASAN需要设置：abort_on_error=1<\/code>, symbolize=0<\/code><\/li> MSAN需要设置：exit_code=MSAN_ERROR<\/code>, symbolize=0<\/code><\/li> <\/ul> 3. 并行模式处理<\/h3> 并行模式(-S -M)下：<\/p> 检查sync_id合法性<\/li> 设置sync_dir(工作目录)和out_dir(工作目录\/sync_id)<\/li> 非并行模式直接使用"-o out_dir"<\/li> <\/ul> 4. CPU绑定与性能设置<\/h3> Linux下：<\/p> 绑定CPU核心<\/li> 检查并设置CPU为performance模式(最高频率)<\/li> <\/ul> 5. 后处理模块设置<\/h3> setup_post()<\/code>：<\/p> 检查AFL_POST_LIBRARY环境变量<\/li> 使用dlopen加载指定库<\/li> 设置afl_postprocess指向库中的post_handler函数<\/li> <\/ul> post_handler签名：u8* post_handler(u8* data, u32* len)<\/code><\/p> 在变异出新用例后、执行前被调用<\/li> 可用于记录或修改变异用例<\/li> <\/ul> 6. 共享内存初始化<\/h3> setup_shm()<\/code>：<\/p> 初始化2字节(16bit)的共享内存<\/li> 相比之前版本(8bit)有显著优化<\/li> <\/ul> 7. 文件系统准备<\/h3> 创建queue等必要目录<\/li> 打开\/dev\/null等备用文件描述符<\/li> 读取测试用例到queue链表<\/li> 读取extra token(可自动生成或通过-x指定字典)<\/li> 复制初始输入(-i指定的文件)<\/li> 创建.cur_input文件用于存储变异用例<\/li> <\/ul> 8. 初始测试执行<\/h3> perform_dry_run()<\/code>：<\/p> 测试queue中的所有用例<\/li> 使用calibrate_case()<\/code>校准每个用例<\/li> 首次执行时调用check_map_coverage()<\/code>检查覆盖率均匀性<\/li> <\/ul> 关键函数分析<\/h2> 1. calibrate_case() - 用例校准<\/h3> 主要工作：<\/p> 如果fork server未准备好，调用init_forkserver()<\/code><\/li> 多次调用run_target()<\/code>测试用例路径发现无插桩则退出<\/li> 发现新路径则提升测试次数到40次<\/li> <\/ul> <\/li> 更新用例信息<\/li> 调用update_bitmap_score()<\/code>进行打分<\/li> <\/ol> 2. init_forkserver() - 初始化fork server<\/h3> 通讯流程：<\/p> 初始化管道<\/p> <\/li> fork子进程：<\/p> 设置内存限制<\/li> 关闭core dump<\/li> 开启新进程组<\/li> 重定向流<\/li> 绑定管道文件描述符(198: supervisor→fork server, 199: fork server→supervisor)<\/li> 关闭无用fd<\/li> 设置ASan\/MSan<\/li> 执行程序并在第一个节点暂停<\/li> 向fd 199写入4字节hello数据包<\/li> 阻塞等待supervisor指令<\/li> <\/ul> <\/li> 主进程：<\/p> 绑定管道文件描述符<\/li> 等待fork server的4字节数据<\/li> 接收成功则返回，否则检查问题<\/li> <\/ul> <\/li> <\/ol> 3. run_target() - 执行目标程序<\/h3> 流程：<\/p> 清空trace_bits<\/li> 发送4字节启动child<\/li> 从fork server接收4字节获取child pid<\/li> 再次接收4字节判断退出原因<\/li> 对trace_bits进行分桶操作<\/li> 返回状态码<\/li> <\/ol> 4. update_bitmap_score() - 用例打分<\/h3> 打分标准：<\/p> 分数 = 执行时间(exec_us) * 文件大小(len)<\/li> 分数越小表示用例越好<\/li> <\/ul> favored集合构建：<\/p> 对于共享内存的每个位置(代表一条边)<\/li> 记录top_rated指针，指向覆盖该边且分数最小的用例<\/li> 最终形成的favored集合比完整corpus小5-10倍<\/li> <\/ul> 主fuzzing循环<\/h2> 循环遍历queue，对每个用例：<\/p> 调用cull_queue()<\/code>精简队列<\/li> 调用fuzz_one()<\/code>变异当前用例<\/li> 并行模式下每5次调用sync_fuzzers()<\/code>同步<\/li> 如果遍历完无新发现：开启use_splicing模式<\/li> 增加cycles_wo_finds计数器<\/li> <\/ul> <\/li> <\/ol> 1. cull_queue() - 队列精简<\/h3> 流程：<\/p> 初始化temp_v为0xff<\/li> 清空队列的favorable标记<\/li> 遍历trace_bits，去除冗余路径用例<\/li> 重构favored集合<\/li> <\/ol> 2. fuzz_one() - 用例变异<\/h3> 准备阶段<\/h4> 判断是否跳过变异：有全新favored用例：99%跳过<\/li> 已fuzz过或不受青睐用例：尽快安排青睐用例<\/li> 无全新favored用例：95%跳过已fuzz，75%跳过未fuzz<\/li> <\/ul> <\/li> 环境准备：mmap映射用例，为out_buf分配空间<\/li> <\/ul> 校准阶段<\/h4> 用例校准失败时尝试重新校准(最多3次)<\/li> <\/ul> 修剪阶段<\/h4> 未修剪用例调用trim_case()<\/code><\/li> 类似afl-tmin的block deletion：分16块<\/li> 遍历删除块<\/li> 测试路径是否相同<\/li> 相同则覆盖原用例<\/li> <\/ol> <\/li> <\/ul> 性能评分<\/h4> 调用calculate_score()<\/code>基于耗时、覆盖率、深度等因素<\/li> 决定是否跳过deterministic变异： -d参数设置(skip_deterministic为true)<\/li> 用例已fuzz过<\/li> 用例已完成deterministic阶段<\/li> 并行模式(-M)自行处理deterministic<\/li> <\/ol> <\/li> <\/ul> Deterministic变异阶段<\/h4> bitflip(字节翻转)<\/h5> bitflip 1\/1：每个bit翻转调用common_fuzz_stuff()<\/code>测试<\/li> 调用maybe_add_auto()<\/code>构建自动词典<\/li> <\/ul> <\/li> bitflip 8\/8：每个字节翻转进行敏感分析：标记路径变化的位置<\/li> 敏感部分>90%则全标记<\/li> 长度<128则全标记<\/li> <\/ul> <\/li> <\/ul> arith(简单加减)<\/h5> arith 8\/8、16\/8、32\/8<\/li> 给uint8\/16\/32加\/减[1,35]<\/li> 跳过bitflip已覆盖位置<\/li> <\/ul> interest(有趣替换)<\/h5> interest 8\/8、16\/8、32\/8<\/li> 替换为内置interesting_n[]值<\/li> 跳过非敏感位置和已覆盖位置<\/li> <\/ul> extras(词典替换)<\/h5> user extras (over)：用户词典覆盖<\/li> user extras (insert)：用户词典插入<\/li> auto extras (over)：自动词典覆盖(最多前50个)<\/li> <\/ul> Havoc随机变异阶段<\/h4> 执行次数受用例得分和havoc_div影响<\/li> 随机组合2-128个变异算子<\/li> 17个变异算子：随机bit翻转<\/li> 随机字节替换为interesting_8[]<\/li> 随机word替换为interesting_16[]<\/li> 随机dword替换为interesting_32[]<\/li> 随机字节减[1,35]<\/li> 随机字节加[1,35]<\/li> 随机word减[1,35]<\/li> 随机word加[1,35]<\/li> 随机dword减[1,35]<\/li> 随机dword加[1,35]<\/li> 随机字节替换为随机值<\/li> 随机删除块(概率较高)<\/li> 随机插入块(75%复制用例块，25%随机相同字节块)<\/li> 随机覆盖块(75%复制用例块，25%随机相同字节块)<\/li> 随机覆写词典条目<\/li> 随机插入词典条目<\/li> <\/ol> <\/li> <\/ul> Splicing拼接变异阶段<\/h4> 最多执行15次<\/li> 每次执行后调用havoc再次变异<\/li> 随机挑选另一用例，随机分割点拼接<\/li> 生成新用例后调用havoc变异<\/li> <\/ul> 3. sync_fuzzers() - 并行同步<\/h3> 流程：<\/p> 遍历其他fuzzer的queue文件<\/li> 测试所有用例<\/li> 调用save_if_interesting()<\/code>尝试加入队列<\/li> 通过sync_id比较避免重复测试<\/li> <\/ol> 关键技术点<\/h2> 1. 覆盖率引导<\/h3> 使用共享内存trace_bits记录边覆盖<\/li> 分桶操作减少碰撞<\/li> 通过覆盖率变化判断用例价值<\/li> <\/ul> 2. 变异策略<\/h3> 分层变异：deterministic -> havoc -> splicing<\/li> 多种变异算子组合<\/li> 敏感度分析优化变异效率<\/li> <\/ul> 3. 队列管理<\/h3> favored集合构建<\/li> 用例打分与优先级调度<\/li> 精简策略减少冗余测试<\/li> <\/ul> 4. 性能优化<\/h3> fork server减少进程创建开销<\/li> 共享内存快速通信<\/li> 文件级操作简化并行同步<\/li> 短用例优先策略<\/li> <\/ul> 总结<\/h2> AFL通过创新的覆盖率引导、高效的变异策略和精细的队列管理，实现了模糊测试领域的重大突破。其关键技术包括：<\/p> 编译时插桩获取精确覆盖率<\/li> 分层变异策略平衡探索与利用<\/li> fork server机制优化执行效率<\/li> 敏感度分析和精简队列减少冗余<\/li> 文件级并行同步简化分布式部署<\/li> <\/ol> 这些设计思想不仅适用于安全测试，也为其他领域的自动化测试提供了宝贵参考。<\/p>

AFL源码学习与Fuzzing技术详解<\/h1>

前言<\/h2> 本文基于AFL-2.57b版本源码，深入分析AFL(American Fuzzy Lop)的实现原理和关键技术点。AFL是一款革命性的模糊测试工具，通过编译时插桩和覆盖率引导，实现了高效的漏洞挖掘能力。<\/p>

初始化流程<\/h2>

关键函数分析<\/h2>

2. fuzz_one() - 用例变异<\/h3>

Deterministic变异阶段<\/h4>

关键技术点<\/h2>

前言<\/h2>
本文基于AFL-2.57b版本源码，深入分析AFL(American Fuzzy Lop)的实现原理和关键技术点。AFL是一款革命性的模糊测试工具，通过编译时插桩和覆盖率引导，实现了高效的漏洞挖掘能力。<\/p>