通常情况下,反编译器和编译器一样,都分成前端、中端和后端三个部分,每一部分都有1-2种中间语言。如果使用3种中间语言,则前端中间语言定义为Target Dependent HIR,中端中间语言定义为Target Independent MIR,后端中间语言定义为Target Dependent LIR;如果使用4-6种中间语言,则前端中间语言定义为Target Dependent HIR和Target Independent HIR,中端中间语言称为Target Independent VMIR和Target Independent MIR,后端中间语言定义为Target Independent LIR和Target Dependent LIR。中间语言转换过程如下:
Target Dependent HIR → Target Independent HIR(Option) → Target Independent VMIR(Option) → Target Independent MIR → Target Independent LIR(Option) → Target Dependent LIR
中间语言主要有三种表现形式:三元式或四元式、DAG、SSA,最常见的表现形式是SSA。
简单概述GCC和LLVM/Clang两种开源编译器的中间语言。
前端HIR
GCC
C/C++ AST
Target Dependent HIR 称为C/C++ AST
Generic
Target Independent HIR 称为Generic
LLVM/Clang
C/C++ AST
Target Dependent HIR 称为C/C++ AST
中端MIR
GCC
Gimple
Target Independent MIR 称为Gimple
LLVM/Clang
LLVM IR
Target Independent MIR 称为LLVM IR
后端LIR
GCC
RTL/MachineRTL
Target Independent LIR 称为RTL,Target Dependent LIR 称为MachineRTL
ASMInst
ASM LIR (汇编指令)称为ASMInst
LLVM/Clang
SelectionDAG/MachineDAG
Target Independent LIR 称为SelectionDAG,Target Dependent LIR称为MachineDAG
LLVM MIR
Target Independent LIR称为LLVM MIR(LLVM MachineIR)。 LLVM从4.0版本开始,后端LIR新增了MIR(Machine IR),用于未优化编译器的代码生成,未来会用于优化编译器的代码生成
MachineInstr
Target Dependent LIR称为MachineInstr
MCInst
ASM LIR (汇编指令)称为MCInst
总结
GCC
中间语言转化流程如下:
C/C++ AST → Generic → Gimple→ RTL/MachineRTL → ASMInst
LLVM/Clang
中间语言转化流程如下:
C/C++ AST → LLVM IR → SelectionDAG/MachineDAG or LLVM MIR → MachineInstr → MCInst
因为反编译是编译的逆过程,也就是说反编译器的前端HIR是编译器的后端LIR,反编译器的中端MIR是编译器的中端MIR,反编译器的后端LIR是编译器的前端HIR,中间语言转化流程如下:
Decompiler Target Dependent HIR(Compiler Target Dependent LIR) → Decompiler Target Independent MIR(Compiler Target Independent MIR/Compiler Target Independent LIR) → Decompiler Dependent LIR(Compiler Dependent HIR)
前端Target Dependent HIR
反编译器前端Target Dependent HIR直接是二进制程序反汇编后的汇编指令。
中端Target Independent MIR
在反编译器实现过程中,中端Target Independent MIR的实现非常重要,当前有非常多的IR可以作为反编译器的中端Target Independent MIR,大概有以下几种类型:
虚拟机/模拟器/仿真机 IR
Qemu TCG
Qemu的中端MIR称为TCG,Qemu已经有20种处理器二进制代码转化成TCG,有5种还有64位的,因此Qemu有25种前端HIR转化成中端MIR的源码实现。
Valgrind VEX
Valgrind的中端MIR称为VEX,Valgrind已经有6种处理器二进制代码转化成VEX,4种还有64位的,因此Valgrind有10种前端HIR转化成中端MIR的源码实现。
二进制逆向分析工具IR
IDA Pro MircoCode
IDA Pro,最好的反汇编工具,闭源,价格昂贵。中端MIR称为MircoCode,它是三元式格式,AT&T-like语法,当前有72条指令。IDA Pro SDK从7.1版本开始,已经有部分中端MIR相关操作的API。
Binary Ninja LLIL
Binary Ninja,类似于IDA Pro的反汇编工具,闭源,价格比IDA Pro便宜。中端MIR称为LLIL,自行了解学习。
Rose Sage III
Rose,类似于IDA Pro的反汇编框架工具,开源。中端MIR称为Sage III,自行了解学习
Radare2 ESIL
Radare2,类似于IDA Pro的反汇编框架工具,开源。中端MIR称为ESIL,自行了解学习
BinNavi REIL
BinNavi,类似于IDA Pro的反汇编界面框架工具,开源。中端MIR称为REIL,自行了解学习
Miasm MIR
Miasm,开源,中端MR有些类似Valgrind VEX,自行了解学习
代码生成器IR
Cretonne IL
Cretonne,用于WASM虚拟机JIT编译器的实现,开源。中端MIR称为Creton IL,类似于LLVM IR,自行了解学习
Firm IL
Firm,可用于编译器的实现,开源,自行了解学习
符号执行IR
Angr IR
Angr,使用Valgrind VEX作为中端MIR,开源,自行了解学习
KLEE IR
KLEE,使用LLVM IR作为中端MIR,开源,自行了解学习
Triton IR
Triton,开源,自行了解学习
编译器IR
LLVM MachineIR/LLVM IR or GCC RTL/GCC Gimple
最好是选择编译器的中端Target Independent MIR或后端Target Independent LIR作为反编译器的中端Target Independent MIR,这样就可以复用控制流分析、数据流分析、优化等相关源码。对于GCC,可以选择GCC Gimple或GCC RTL作为反编译器的Target Independent MIR;对于LLVM,由于反编译器Target Independent MIR采用SSA表现形式,排除SelectionDAG,可以选择LLVM IR或LLVM MachineIR作为反编译器的Target Independent MIR。由于GCC源码使用了大量宏,并没有使用模板,还用很多独有的编译器特性,并不推荐复用其源码,所以,LLVM MachineIR个人觉得是反编译器中端Target Independent MIR的首选,其次是选择LLVM IR作为反编译器的中端Target Independent MIR
反编译器IR
Boomerang SSL
Boomerang,一个完成度很高的开源反编译器,中端MIR称为SSL,自行了解学习。
RetDec MIR
[培训]科锐逆向工程师培训第53期2025年7月8日开班!
最后于 2018-10-4 04:33
被vasthao编辑
,原因:
