用AFL++对C++项目模糊测试的核心是编译时启用插桩(如afl-clang-fast++)、入口函数从stdin/文件读取字节数组输入、捕获异常避免abort,并注意STL、线程等特性干扰。
用 AFL++ 对 C++ 项目做模糊测试,核心是让目标程序接受一个字节数组输入(通常通过 stdin 或文件),并编译时启用插桩(instrumentation)。C++ 本身没有阻碍,但要注意编译器兼容性、异常处理、标准库行为等细节。
1. 编译时启用 AFL++ 插桩
AFL++ 需要重新编译目标代码,使用其提供的包装器(如 afl++-clang++)替代原编译器。它会自动注入覆盖率反馈逻辑。
- 确保源码入口是清晰的
int main(int argc, char** argv),且能从 stdin / 文件读取输入(推荐 stdin,更易与 AFL++ 集成) - 禁用优化(
-O0)和启用调试信息(-g)有助于调试崩溃;生产级 fuzz 可用-O3,但需确认插桩仍生效 - 关闭 ASLR 和其他干扰机制:运行前执行
echo core | sudo tee /proc/sys/kernel/core_pattern和sudo sysctl -w kernel.randomize_va_space=0(仅限测试环境)
2. 编写可 fuzz 的 C++ 入口函数
AFL++ 不直接理解 C++ 类或模板,它只监控底层指令执行路径。你需要把待测逻辑“暴露”为一个可重复调用、无副作用、快速退出的函数,并由 main 驱动。
- 避免全局构造器中做复杂初始化(可能在 fuzz 过程中多次触发);改用懒加载或每次 fuzz 迭代内显式初始化
- 捕获 C++ 异常:AFL++ 默认不处理未捕获异常导致的 abort,建议在 main 中用
try { ... } catch (...) { return 0; }防止崩溃被误判为 crash - 示例结构:
extern "C" int LLVMFuzzerTestOneInput(const uint8_t *data, size_t size) {
// 将 data 解析为你的输入格式(如字符串、二进制协议)
std::string input(reinterpret_cast(data), size);
try {
parse_my_format(input); // 你的真实逻辑
} catch (...) {
return 0;
}
return 0;
} 注意:若使用 libFuzzer 风格接口(LLVMFuzzerTestOneInput),需链接 -fsanitize=fuzzer,而非 AFL++ 插桩——这是两种不同模式。AFL++ 更常用的是传统 main + stdin 模式。
立即学习“C++免费学习笔记(深入)”;
3. 构建与运行 AFL++
推荐使用 AFL++ 的 afl-clang-fast++(基于 LLVM 的高性能插桩)或 afl-g++(基于 GCC 的经典插桩)。
- 安装 AFL++ 后,设置环境:
export AFL_PATH=/path/to/aflpp,并确保$AFL_PATH在 PATH 中 - 编译命令示例:
afl-clang-fast++ -O3 -g -o my_target my_target.cpp - 准备输入语料库(至少一个合法/半合法输入文件,放在
in/目录),然后启动 fuzz:afl-fuzz -i in/ -o out/ -- ./my_target - 若程序从文件读输入,用
@@占位符:afl-fuzz -i in/ -o out/ -- ./my_target @@
4. 处理 C++ 特有陷阱
std::string、std::vector、异常、RTTI、线程等可能干扰 fuzz 稳定性。
- 避免在 fuzz 循环中调用
std::exit()或abort();改用return让 main 正常结束 - 禁用 STL 的 debug 模式(如
_GLIBCXX_DEBUG)和 sanitizer 冲突(AFL++ 插桩与 AddressSanitizer 可共存,但需用afl-clang-fast++ -fsanitize=address统一编译) - 多线程程序慎用 AFL++:默认只 fuzz 主线程;如必须支持,请启用
-D__AFL_HAVE_MANUAL_CONTROL并手动调用__AFL_INIT(),再用__AFL_LOOP()包裹 fuzz 循环
