c++如何使用SanitizerCoverage进行引导式模糊测试_c++代码覆盖率与Fuzzing

SanitizerCoverage是LLVM提供的覆盖插桩技术，通过-fsanitize-coverage选项在编译时插入钩子，记录执行路径，结合libFuzzer实现引导式模糊测试，利用trace-pc、edge、trace-cmp等模式提升覆盖率，配合语料库、字典和llvm-cov分析，有效发现深层漏洞。

在C++中使用 SanitizerCoverage 进行引导式模糊测试（guided fuzzing），是提升代码覆盖率和发现深层漏洞的有效方式。它结合了编译器插桩与运行时反馈机制，让fuzzer能“感知”执行路径，从而更智能地探索程序行为。

什么是 SanitizerCoverage？

SanitizerCoverage 是 LLVM 提供的一种轻量级代码覆盖插桩技术，通常与 AddressSanitizer、UndefinedBehaviorSanitizer 等协同工作。它在编译期间向目标程序插入钩子函数，记录基本块、边缘或函数调用的执行情况，为模糊测试提供反馈信息。

其核心优势在于：无需修改源码，仅通过编译选项即可启用，并且性能开销相对较低。

如何启用 SanitizerCoverage 编译插桩

要在 C++ 项目中启用 SanitizerCoverage，需使用 clang 或支持 LLVM 的编译器，并添加相应的编译标志。

立即学习“C++免费学习笔记（深入）”；

关键编译选项如下：

• -fsanitize-coverage=trace-pc：记录每条指令前的 PC 值，提供最细粒度的覆盖信息
• -fsanitize-coverage=bb：按基本块（basic block）级别插桩，默认常用
• -fsanitize-coverage=edge：记录控制流边（edge coverage），适合复杂路径探索
• -fsanitize=address（可选）：结合 ASan 检测内存错误

示例编译命令：

clang++ -g -O1 -fsanitize=fuzzer,address \
        -fsanitize-coverage=trace-pc,indirect-calls,trace-cmp \
        your_target.cpp -o fuzzer_binary

其中 trace-cmp 可捕获比较指令（如 strcmp、memcmp）的上下文，帮助绕过字符串匹配等障碍。

编写简单的引导式 Fuzzer

使用 libFuzzer 框架可以快速构建基于 SanitizerCoverage 的引导式模糊器。libFuzzer 利用插桩信息动态生成更有意义的输入。

一个典型的入口函数结构如下：

extern "C" int LLVMFuzzerTestOneInput(const uint8_t *data, size_t size) {
    // 将输入数据传给待测函数
    if (size > 0) {
        process_input(data, size);
    }
    return 0;
}

当你运行生成的二进制文件时，libFuzzer 会自动利用覆盖率反馈调整输入变异策略：

GPT Detector

在线检查文本是否由GPT-3或ChatGPT生成

下载

./fuzzer_binary -max_len=1024 -timeout=10 -jobs=4 -workers=4

随着执行进行，你会看到类似以下输出：

stat::number_of_executed_units: 123456
stat::average_exec_per_sec:     85000
stat::new_units_added:          12

这说明 fuzzer 正根据新发现的路径持续优化测试用例。

提升覆盖率的关键技巧

为了最大化 SanitizerCoverage 的效果，可以采取以下实践：

• 提供初始语料库（corpus）：将合法输入样本放入目录，帮助 fuzzer 快速进入有效路径
• 使用字典（dictionary）：定义关键词汇（如 magic strings、协议字段），加速解析逻辑穿透
• 开启 CMP 插桩：加上 -fsanitize-coverage=trace-cmp，有助于破解硬编码校验
• 保持调试符号：编译时保留 -g，便于后期分析崩溃位置

例如，创建一个字典文件 my.dict：

# Protocol keywords
kw::LOGIN
kw::LOGOUT
"secret_token"
\00\01\02\03

然后在运行时指定：

./fuzzer_binary -dict=my.dict ./corpus_dir

分析覆盖率结果

除了运行时反馈，还可以结合 llvm-cov 工具生成可视化覆盖率报告。

先用 -fprofile-instr-generate -fcoverage-mapping 重新编译：

clang++ -g -O1 -fprofile-instr-generate -fcoverage-mapping \
        -fsanitize-coverage=bb your_target.cpp -o fuzzer_with_cov

运行后生成覆盖率数据：

LLVM_PROFILE_FILE="fuzz.profraw" ./fuzzer_with_cov ./seed_corpus
llvm-profdata merge -output=fuzz.profdata fuzz.profraw
llvm-cov show ./fuzzer_with_cov -instr-profile=fuzz.profdata --format=html > report.html

打开 report.html 即可查看哪些分支未被触发，指导后续 fuzzing 策略调整。

基本上就这些。SanitizerCoverage + libFuzzer 构成了现代 C++ 引导式模糊测试的核心工具链，配合良好的语料和字典，能在较短时间内深入挖掘潜在缺陷。关键是让程序“说话”——通过覆盖反馈告诉 fuzzer 哪里还没去过，从而更聪明地探索未知路径。