tmin

通过这一部分代码可以看到，共享内存里面存放的 bitmap 数据是怎么被用来统计覆盖率的。

afl-tmin 的背景

这是一个用来精简输入样例的工具 （trimming）。

• 为什么需要精简输入

大的输入执行起来速度比较慢，而且如果文件太大了，那么编译更可能发生在不重要的部分。

两种模式

有两种模式来进行精简，Non-Crashing Input Mode 能够在路径完全相同的情况下尽量减少输入大小，而 Crashing Input Mode 可以精简能够制造 crash 的 poc 代码。

不仅仅是 afl-tmin，afl-fuzz 也内置了精简器：以一些固定长度尝试删除数据块，如果删除之后的路径 checksum 保持不变，就认为可以删减。

四阶段算法

tmin 采用四阶段算法来删减数据，四个阶段删减数据的粒度从大到小，从删减粗粒度数据，到删减极细的字节大小的粒度，达到 trimming 的效果。

1. 粗粒度归零

大刀阔斧简化数据，使用大块步长将数据归零，这是为了减少后续细粒度操作次数。

2. 逐级细化删除

以递减的块长和步长进行块删除，像「二分查找」一样，不断缩小切割范围，直到无法再切。

3. 字母表归一化

统计唯一字符，尝试批量替换为 '0'（ASCII 字符 0x30），'0' 在文本格式中（如配置文件、日志）通常不会破坏结构

进程

新增了一个 shell。在此之前，程序时作为 “task” 存在的，而从这章开始，引入了进程的概念，不必按一定顺序依次执行所有程序了。

代码变化

在之前的结构体的基础上，进行了一些变化：

总览

相关的资料有：

• 首先是源码 american fuzzy lop
• 官方的技术细节 technical_details.txt 可以去了解一些原理内容
• AFL 源码分析博客 AFL源码阅读（一）：启程 作者记录了详细的分析思路

整个 AFL 项目的主要部分在 afl-fuzz.c 文件里面，直接看这个文件非常庞大，不太易于阅读，所以可以从其他部分来看，先去了解其 API 的使用方式。

先问 ai 总结了一下功能相关的文件：

参考了 AFL源码阅读（一）：启程 的阅读顺序：

阅读源码的主要目标应该是：

1. 理清静态插桩过程（gcc、clang、llvm mode）
2. 理清 fuzz 过程：如何变异、如何将 input 传递给程序、如何收集覆盖度信息
3. 理清 qemu mode 的插桩和执行过程

因此，我们决定阅读顺序：

1. 阅读 afl-gcc.c 和 afl-as.c，即静态插桩相关代码
2. 阅读 afl-tmin.c ，这个工具的用途是「将一个 input case 缩小，但与原 input 拥有相同的覆盖度」。它会完整地演示如何收集程序的覆盖度信息，而不涉及 afl-fuzz.c 中的其他流程。这将给我们提供一个绝佳的切面，以研究 AFL 收集覆盖度的方法
3. 阅读 afl-fuzz.c

AFL-gcc 如何插桩

afl-gcc 文件开始

根据这个文件的注释说明，afl-gcc 是 gcc 或者 clang 的简易包装。在这个文件的 main 函数中，除去检查参数的部分，主要就是 3 行代码，用于找到 afl-as （这个是插桩的工具），编辑传递给 gcc 的参数，使用 execvp 来启动 gcc 进程：

“本章中内核将实现虚拟内存机制，这注定是一趟艰难的旅程。”

虚拟地址和物理地址

在本章中，出现了虚拟地址和物理地址的转换，整个过程中的关键部分是几个结构体。

查看飞书的介绍文档，有两种机器人，一种是自定义机器人，只能推送消息，没办法和用户互动；应用机器人可以互动，功能也更多一些，不过需要企业的管理员审核。最好的方式是自己的企业创建一个企业应用，功能比个人的应用更多，而且 5 个人一下不用审核。

预计写一个打卡 bot，可以和数据库以及 deepseek 交互。因为涉及数据转换比较复杂，决定使用 python fastapi + sqlite 吧。用 python 写代码比较舒适区内…虽然官方有 sdk 封装好的，但是我寻思着，如果后续有写成前后端的需要的话，单单用 fastapi 不用 sdk 更好兼容一些，所以这次就没有使用官方的 sdk，而是自己封装了 bot 的类。

fastapi

用 fastapi 的体验还是很好，一些数据库的交互、测试等等过程都比较完善而且简洁，虽然在使用的过程中因为版本迭代的原因，有一些用法我感觉还挺好用，但是 deprecated 了（）

python 包管理

既然要部署在服务器上，就不能偷懒不用包管理了（），所以这次选了 poetry（本来在 pdm 和 poetry 之间纠结，然后觉得 poetry 更好听就选它了）Poetry。创建程序用 poetry new project_name; poetry install 添加包用 poetry add pkg_name 方便嘞~

数据库交互

fastapi 的文档一看就懂，比如在 fastapi 里面和 sqlite 交互：SQL (Relational) Databases - FastAPI，这里用到了 SQLModel 使用 Python 对象和数据库交互，就不用写 sql 语言啦~~ 支持这些类型：Pydantic field

为了在 rustlings 里面用 rust analyzer，可以运行 rustlings lsp 命令，这样会生成 rust-project.json 文件提供一些 crate 信息，lsp 就可以使用了~

这里记录一下写的不是很优雅的地方可以怎么改进，以及一些理解。

while let 用来遍历链表非常合适

while let 很适合用于完成遍历数组的工作，比如

按照这个顺序来布置一下安卓环境

0. 编译一个安卓程序：带 native 层的
1. 配置 frida 环境调试程序
2. 配置 ida 调试 native 层

感觉版本还是很魔幻的，有些问题换了一个版本就莫名奇妙好了。

写安卓程序

如果 app install 没有让 app 在桌面显示：adb install问题

frida

配置

• 模拟器需要选择 “Google API” 而不是 “Google play” 版本

  如果是 android studio 模拟的话，选择 “ Google API” 的版本才能开启 root，否则报错 android - ADB root is not working on emulator (cannot run as root in production builds) - Stack Overflow

• usb debugging 调试的话要先 开启 usb debugging

• 安装 frida 安装 frida 参考 Frida 初体验

2 .35

参考：关于house of apple的学习总结 | ZIKH26’s Blog

==2.35-0ubuntu3.8_amd64==

这里 pwn ebpf 的逻辑是让 verifier 对数据的范围估算错误，从而越界访问或者有任意读写的效果。

关于 ebpf

eBPF Docs ebpf 的自己的文档

maps

BPF数据传递的桥梁——BPF Map（一） – My X Files

ebpf 的 maps 创建之后返回一个 fd，因此可以在 user 和 kernel 的空间访问这个 map 里面的数据。

ebpf insn

字节码可以参考 【译】eBPF 概述：第 2 部分：机器和字节码 | Head First eBPF

可以不用 c 来写一个 ebpf 程序，能直接用宏来写 ebpf 的机器码，比如 linux/samples/bpf/bpf_insn.h 里面定义的

userfaultfd 可以在驱动读写数据的时候，触发中断，切换到用户空间。此时可以将数据释放，释放的内存被其他结构体占有，然后就能进行 uaf_read 或者 uaf_write，。

自 Linux kernel 5.11 版本起，非特权用户被禁止使用 userfaultfd 系统调用，但是我们仍能通过 FUSE 达成同样的效果（在用户空间实现文件系统的机制，本身不是一个文件系统）。

fuse 的使用

基本情况

fuse 的文件系统包括 CephFS、GlusterFS、ZFS、sshfs、mailfs。访问 FUSE 的文件系统，可以使用和内核文件系统相同的接口。

实现主要由三个部分组成