sanitizercoverage(sancov)是 llvm 提供的轻量级覆盖率反馈机制,通过 -fsanitize-coverage=trace-pc-guard 编译插桩,为 libfuzzer 提供基本块/边缘覆盖信息,需用 clang 编译、安全解析输入、关注 cov/ft 指标并可结合 llvm-cov 生成报告。
在 C++ 模糊测试中,SanitizerCoverage(即 SanCov)是 LLVM 提供的轻量级、低开销覆盖率反馈机制,它不依赖外部插桩工具(如 AFL 的 afl-clang-fast),而是通过编译器内置支持,为 libFuzzer 等基于覆盖率的模糊器提供基本块(Basic Block)、边缘(Edge)或函数级覆盖信息。它不是独立 fuzzing 工具,而是 libFuzzer 的“眼睛”——让模糊器知道“哪里还没跑过”,从而智能变异输入。
一、启用 SanitizerCoverage 编译目标代码
关键在于用 clang++(推荐 clang 12+)开启 -fsanitize-coverage=trace-pc-guard,这是 libFuzzer 推荐的模式,平衡精度与性能:
- 必须使用 clang/LLVM 工具链,GCC 不支持该 coverage 模式;
- 建议同时开启
-O2(优化不影响 coverage 插桩)和-g(便于调试崩溃); - 禁用
-fno-omit-frame-pointer(某些 sanitizer 模式需要,libFuzzer 默认要求); - 若目标含 C++ STL 或第三方库,确保它们也用相同 sanitizer flags 编译(或链接静态版 libFuzzer)。
示例编译命令:
clang++ -O2 -g -fsanitize=address,undefined \ -fsanitize-coverage=trace-pc-guard \ -stdlib=libc++ \ target.cpp \ -o target_fuzz \ /path/to/libFuzzer.a
二、编写符合 libFuzzer 要求的 fuzz target
入口函数必须严格为 extern "C" int LLVMFuzzerTestOneInput(const uint8_t *Data, size_t Size),且不能调用 exit()、printf()(除非重定向)等干扰 fuzz loop 的操作:
立即学习“C++免费学习笔记(深入)”;
- 输入数据需安全解析:用
Size做边界检查,避免越界读; - 避免非确定性行为(如读系统时间、随机数、文件、网络);
- 可主动报告漏洞:触发 ASan/UBSan 崩溃即自动捕获;也可用
__builtin_trap()或abort()手动标记逻辑错误(如解析出非法状态); - 若需初始化(如解析器 setup),放在
static局部变量或LLVMFuzzerInitialize回调中,避免每次调用重复开销。
三、运行并观察覆盖率反馈效果
libFuzzer 运行时会实时打印覆盖率相关指标,重点关注 cov: N(已覆盖基本块数)和 ft: M(新发现的转化路径数):
- 首次运行加
-print_final_stats=1查看总覆盖块数、执行速度(execs/sec); - 加
-use_value_profile=1启用值轮廓(Value Profile),提升对分支条件(如if (x == 0xdeadbeef))的敏感度; - 用
-runs=1000000或-max_total_time=3600控制资源; - 崩溃样本自动保存在
crash-*文件中,超时/内存泄漏分别存为timeout-*/leak-*。
提示:若 cov 长期不增长,说明输入空间未有效探索——检查 fuzz target 是否过早返回、是否遗漏关键分支、或是否存在强校验(如 magic header)阻碍变异。
四、进阶技巧:定制覆盖率与集成 CI
SanCov 支持细粒度控制,可通过编译选项调整反馈粒度:
-
trace-pc:轻量但易受 inline 影响;trace-pc-guard(推荐)更稳定;trace-cmp+use_value_profile可捕获比较操作的常量值; - 用
__attribute__((no_sanitize_coverage))标记不希望插桩的函数(如日志、监控代码); - 结合
llvm-cov生成 HTML 覆盖率报告:llvm-cov show ./target_fuzz -instr-profile=default.profdata(需先运行时加-dump_coverage=1生成 profdata); - 在 CI 中自动化:用
-max_total_time=60快速验证回归,配合-detect_leaks=1检查内存泄漏。
基本上就这些。SanitizerCoverage 本身不复杂,但容易忽略编译一致性、输入安全边界和反馈信号解读——真正发挥价值,在于让模糊器“看得更清”,而不是“跑得更快”。
