Falcon IL 中间语言设计与实现详解<\/h1>

1. 中间语言(IL)与中间表示(IR)基础<\/h2>
中间表示(IR)是程序从一种状态转换到另一种状态时的存储方式，而中间语言(IL)是IR使用的一种特定语言，用于编码程序语义以便后续分析。两者概念常被混用。<\/p>

2. Falcon IL的设计背景<\/h2>

Falcon IL是作者在多个IL实现经验基础上设计的：<\/p>

早期实现过RREIL的复制品（无控制流）<\/li>
使用过Queso框架的IL（完全提升为控制流图）<\/li>
实验过Binary Toolkit的Bins IL<\/li>
研究过Angr的VEX IR和LLVM IR<\/li>

使用过BAP IL和Binary Ninja的LLIL\/MLIL<\/li> <\/ul>

3. IL的分类维度<\/h2>

3.1 指令复杂度谱系<\/h3>

RREIL<\/strong>：最简单的three-form IL（OP DST, LHS, RHS）<\/li>
VEX IR<\/strong>：最复杂，有上百条指令类型（为Valgrind性能优化）<\/li>

中间类型<\/strong>：BAP IL、LLVM IR、Binary Ninja IL（支持表达式）<\/li> <\/ul>
3.2 表达式支持<\/h3>
支持表达式的IL允许 a = b * (c + 7)<\/code> 这样的形式，而非表达式IL需要分解为多条指令：<\/p>
temp0 = c + 7 a = b + temp0 <\/code><\/pre> 4. Falcon IL的核心设计<\/h2> 4.1 基本操作类型<\/h3> Assign { dst: Scalar<\/span>, src: Expression<\/span> } <\/span><\/span>Store { index: Expression<\/span>, src: Expression<\/span> } <\/span><\/span>Load { dst: Scalar<\/span>, src: Expression<\/span> } <\/span><\/span>Branch { target: Expression<\/span> } <\/span><\/span>Raise { expr: Expression<\/span> } \/\/ 后改为Intrinsic <\/span><\/span><\/span><\/code><\/pre>4.2 表达式类型<\/h3> Scalar(scalar) <\/span><\/span>Constant(constant) <\/span><\/span>Add(lhs, rhs) <\/span><\/span>Sub(lhs, rhs) <\/span><\/span>Mul(lhs, rhs) <\/span><\/span>Divu(lhs, rhs) <\/span><\/span>Modu(lhs, rhs) <\/span><\/span>Divs(lhs, rhs) <\/span><\/span>Mods(lhs, rhs) <\/span><\/span>And(lhs, rhs) <\/span><\/span>Or(lhs, rhs) <\/span><\/span>Shl(lhs, rhs) <\/span><\/span>Shr(lhs, rhs) <\/span><\/span>Cmpeq(lhs, rhs) <\/span><\/span>Cmpneq(lhs, rhs) <\/span><\/span>Cmplts(lhs, rhs) <\/span><\/span>Cmpltu(lhs, rhs) <\/span><\/span>Trun(bits, rhs) <\/span><\/span>Sext(bits, rhs) <\/span><\/span>Zext(bits, rhs) <\/span><\/span><\/code><\/pre>4.3 程序结构<\/h3> Instruction<\/code>：包含Operation<\/code>及元数据（地址、注释、位置）<\/li> Block<\/code>和Edge<\/code>组成ControlFlowGraph<\/code><\/li> Function<\/code>由CFG组成<\/li> Program<\/code>由函数组成<\/li> <\/ul> 5. 关键设计决策与演进<\/h2> 5.1 可读性设计<\/h3> Falcon IL示例：<\/p> [ Block: 0x0 ] 804849B 00 exc:32 = (esp:32 + 0x4:32) 804849F 01 temp_0.0:32 = (esp:32 & 0xFFFFFFF0:32) 804849F 02 ZF:1 = (temp_0.0:32 == 0.0:32) 804849F 03 SF:1 = trun.1((temp_0.0:32 >> 0x1F:32)) <\/code><\/pre> 5.2 跳转指令编码策略<\/h3> 过程间跳转<\/strong>（Call）：显式编码为Branch操作<\/li> 过程内直接跳转<\/strong>：隐式转换为CFG边（不生成IL指令）<\/li> 间接跳转<\/strong>：显式编码为Branch操作<\/li> 条件跳转<\/strong>：转换为带条件的CFG边<\/li> <\/ul> 5.3 重要演进点<\/h3> 5.3.1 Raise到Intrinsic的转变<\/h4> 初始设计：用Raise处理特殊指令（如系统调用）<\/li> 问题：无法处理MIPS rdhwr<\/code>等复杂指令<\/li> 解决方案：引入更灵活的Intrinsic操作<\/li> <\/ul> 5.3.2 引入Ite表达式<\/h4> 初始设计：条件赋值转换为控制流<\/li> 问题：状态合并困难<\/li> 解决方案：添加Ite<\/code>表达式支持<\/li> <\/ul> 5.3.3 MIPS延迟槽处理<\/h4> 解决方案示例：<\/p> 1000 00 branching_condition:1 = ($v0:32 == 0x0:32) 1004 01 $v0 = (0x0:32 + 0x1:32) \/\/ 边条件为branching_condition:1 <\/code><\/pre> 5.3.4 引入Nop操作<\/h4> 目的：保留跳转指令地址信息<\/li> 特性：无实际语义，分析时可忽略<\/li> 优势：保持地址信息而不影响分析和可读性<\/li> <\/ul> 6. 设计哲学与经验总结<\/h2> 没有万能IL<\/strong>：不同分析需要不同的IL表示形式<\/li> 信息完整性<\/strong>：初始IL应保留所有原始信息，后续可转换<\/li> 渐进式演进<\/strong>：根据实际需求逐步完善IL设计<\/li> 可读性与功能性平衡<\/strong>：在保持分析能力的同时提高可读性<\/li> <\/ol> 7. Falcon IL应用场景<\/h2> 静态分析（跨x86和MIPS架构）<\/li> 符号执行（如DARPA CGC挑战赛）<\/li> 二进制程序分析（如检测MIPS libc函数参数错误）<\/li> <\/ul> 8. 与其他IL的对比<\/h2> 特性<\/th> Falcon IL<\/th> RREIL<\/th> VEX IR<\/th> Binary Ninja IL<\/th> <\/tr> <\/thead> 表达式支持<\/td> 是<\/td> 否<\/td> 是<\/td> 是<\/td> <\/tr> 指令复杂度<\/td> 中等<\/td> 低<\/td> 高<\/td> 中等<\/td> <\/tr> 可读性<\/td> 中等<\/td> 低<\/td> 低<\/td> 高<\/td> <\/tr> 控制流表示<\/td> CFG<\/td> 无<\/td> 基本块<\/td> CFG<\/td> <\/tr> 特殊指令处理<\/td> Intrinsic<\/td> 无<\/td> 原生支持<\/td> 原生支持<\/td> <\/tr> <\/tbody> <\/table> Falcon IL在简单性、表达能力和可读性之间取得了平衡，特别适合二进制程序分析场景。<\/p>

特性<\/th>	Falcon IL<\/th>	RREIL<\/th>	VEX IR<\/th>	Binary Ninja IL<\/th> <\/tr> <\/thead>
表达式支持<\/td>	是<\/td>	否<\/td>	是<\/td>	是<\/td> <\/tr>
指令复杂度<\/td>	中等<\/td>	低<\/td>	高<\/td>	中等<\/td> <\/tr>
可读性<\/td>	中等<\/td>	低<\/td>	低<\/td>	高<\/td> <\/tr>
控制流表示<\/td>	CFG<\/td>	无<\/td>	基本块<\/td>	CFG<\/td> <\/tr>
特殊指令处理<\/td>	Intrinsic<\/td>	无<\/td>	原生支持<\/td>	原生支持<\/td> <\/tr> <\/tbody> <\/table> Falcon IL在简单性、表达能力和可读性之间取得了平衡，特别适合二进制程序分析场景。<\/p>

Falcon IL 中间语言设计与实现详解<\/h1>

1. 中间语言(IL)与中间表示(IR)基础<\/h2> 中间表示(IR)是程序从一种状态转换到另一种状态时的存储方式，而中间语言(IL)是IR使用的一种特定语言，用于编码程序语义以便后续分析。两者概念常被混用。<\/p>

3. IL的分类维度<\/h2>

4. Falcon IL的核心设计<\/h2>

5. 关键设计决策与演进<\/h2>

5.3 重要演进点<\/h3>

1. 中间语言(IL)与中间表示(IR)基础<\/h2>
中间表示(IR)是程序从一种状态转换到另一种状态时的存储方式，而中间语言(IL)是IR使用的一种特定语言，用于编码程序语义以便后续分析。两者概念常被混用。<\/p>