angr项目中如何区分内部函数调用与库函数调用

在二进制程序分析过程中，准确识别函数调用的来源对于理解程序行为至关重要。本文将深入探讨如何在angr框架中区分程序内部函数调用和外部库函数调用。

核心判断方法

angr提供了loader模块来帮助分析人员判断函数调用的来源性质。主要可以通过以下两种方式实现：

1. 主对象检查法： 使用project.loader.find_object_containing(addr)方法获取包含指定地址的对象，然后与project.loader.main_object进行比较。如果两者相同，则说明是程序内部调用。

2. PLT表检查法： 通过访问project.loader.main_object.plt和project.loader.main_object.reverse_plt可以检查PLT存根，这些通常用于外部库函数调用。

技术原理详解

加载器模块架构

angr的loader模块负责管理二进制文件及其依赖的所有对象。其中：

• main_object代表主程序本身
• 其他对象代表动态链接库等外部依赖

PLT机制分析

过程链接表(PLT)是动态链接的关键组件：

• .plt节包含跳转到外部函数的存根代码
• .got.plt节存储实际函数地址
• reverse_plt提供了从地址到符号名的反向映射

实际应用示例

def is_internal_call(project, call_addr):
    obj = project.loader.find_object_containing(call_addr)
    if obj is project.loader.main_object:
        return True
    
    # 检查PLT调用
    if call_addr in project.loader.main_object.plt:
        return False
        
    return None  # 无法确定的情况

进阶技巧

1. 结合CFG分析： 可以与控制流图分析结合，更准确地识别调用关系。

2. 符号执行辅助： 在符号执行过程中，可以通过hook点设置来区分不同来源的调用。

3. 混合调用场景处理： 注意处理通过函数指针等间接调用的情况。

注意事项

1. 静态链接程序可能需要特殊处理
2. JIT代码等动态生成代码需要额外考虑
3. 某些编译器优化可能会影响判断准确性

掌握这些技术可以帮助分析人员更准确地理解程序的执行流程和模块间交互，为后续的程序分析、行为分析等工作奠定基础。