C++模糊测试主流选libFuzzer(轻量、函数级、需FuzzerTestOneInput入口)和AFL(插桩编译、进程隔离、适合二进制),均依赖覆盖率反馈;共性要求fuzz target精简、无副作用、限长防OOM,并推荐ASan/UBSan协同检测。
在 C++ 中做模糊测试(Fuzzing),主流选择是 libFuzzer(LLVM 自带、集成度高、适合单元级测试)和 AFL(历史悠久、覆盖率驱动、需插桩编译)。两者都依赖“覆盖率反馈”来智能变异输入,而非随机乱试。
libFuzzer:轻量、快速、适合函数级 fuzz
libFuzzer 是 LLVM 工具链的一部分,直接链接进你的测试目标,无需外部 fuzzer 进程。它要求你写一个 FuzzerTestOneInput 函数,接收 const uint8_t* data, size_t size,然后在里面调用被测函数(比如解析器、解码器、序列化逻辑等)。
- 编译时加
-fsanitize=fuzzer,address,undefined(推荐同时开 ASan + UBSan,便于发现内存错误和未定义行为) - 确保被测代码无非确定性操作(如读系统时间、文件、网络),否则 libFuzzer 无法稳定复现崩溃
- 用
__attribute__((no_sanitize("fuzzer_no_link"))) void FuzzerTestOneInput(...)显式声明入口函数 - 运行后会自动生成语料(corpus)、自动最小化崩溃用例,并把 crash 保存在
crash-xxx文件中
AFL:经典、稳定、适合二进制或黑盒场景
AFL 更适合对已编译程序(尤其是没有源码的)或需要完整进程隔离的场景。C++ 项目使用 AFL 通常走 afl-clang++ 插桩编译路径。
- 安装 AFL++(推荐替代原版 AFL,支持更多插桩模式和 CPU 指令集优化)
- 用
afl-clang++ -O2 -g -fsanitize=address,undefined your_code.cpp -o target编译 - 准备初始语料(哪怕只有一个空文件或合法输入样本),放在
in/目录 - 运行
afl-fuzz -i in/ -o out/ -- ./target @@(@@表示输入文件位置;若程序从 stdin 读,则省略@@) - AFL 会不断生成新输入、监控执行路径,遇到新覆盖就保留,触发崩溃则存入
out/crashes/
关键共性:怎么写靠谱的 fuzz target?
无论 libFuzzer 还是 AFL,效果好坏极大取决于 fuzz target 的设计质量:
立即学习“C++免费学习笔记(深入)”;
- 只 fuzz 你想验证的模块,别把初始化、日志、网络连接等无关逻辑包进来
- 避免全局状态残留(比如单例未重置),否则多次调用会互相干扰 —— libFuzzer 默认反复调用同一进程内的函数
- 对输入长度设合理上限(例如
if (size > 1024) return;),防 OOM 或无限循环 - 可主动调用
abort()或__builtin_trap()标记逻辑错误(如协议校验失败但没崩溃),配合-fsanitize=fuzzer让 fuzz 引擎感知到“新路径”
小技巧与避坑提醒
实际跑起来常卡在几个地方:
- ASan 报告
malloc/free mismatch?检查是否混用了 new/delete 和 malloc/free,或跨 shared library 释放内存 - libFuzzer 卡住不动?可能是死循环、阻塞 IO 或信号处理干扰 —— 加
-timeout=5参数限制单次执行时间 - AFL 提示 “No instrumentation detected”?确认用了
afl-clang++编译,且没被 CMake 的set(CMAKE_CXX_FLAGS ...)覆盖掉插桩标志 - 想 fuzz C++ STL 容器或算法?可以,但注意迭代器失效、越界访问等 UB 很容易被 UBSan 捕获,正是 fuzz 想找的点
基本上就这些。libFuzzer 上手快,适合开发阶段嵌入 CI;AFL 更鲁棒,适合回归测试或交付前深度挖掘。两者不冲突,可以并行用 —— 同一个 parser,既写个 libFuzzer target 做单元 fuzz,也编个 AFL binary 做端到端 fuzz。
