P2IM论文笔记

简介

背景：模拟以MCU为处理器的固件设备并没有完全的模拟外设，导致fuzzing时外设需要实际物理设备，速度偏慢，且没有达到完全模拟。

主要实现了一个可以模拟在MCU下运行的固件的模拟器P2IM。通过自动化外设接口的建模来进行自动化，可扩展的模拟。

特点：对mcu架构下的寄存器进行分类识别，在qemu模拟时同时模拟这些寄存器值的操作，从而模拟出了firmware外设的一系列操作。保证了firmware在qemu上的稳定运行的同时加入了外设的模拟。

当时对固件的模拟需要软硬件结合，导致fuzz的效率很慢，因此提出了一种模拟器对固件完全模拟的思路，通过实现对固件外设寄存器的分类并模拟以达到完全模拟的目的。

实现了对无硬件模拟

提出了P2IE（外设接口等效属性）：为了定义怎样的仿真是好的仿真

提出了MMIO寄存器四种模型：对四种模型的行为进行了定义

探索性执行技术

寄存器分类可能存在错误（eg: 某些SR会错分类为DR，导致fuzz时将其作为输入，效率下降。）
代码覆盖率不够高
- 存在僵尸代码：写了但是没有使用上的代码
- 模糊器太基础：只用了最简单的AFL
- 假挂起情况：出现了两次假挂起的情况，一次是由于DR被错误分类为了CR；另一次是出现了DMA操作，P2IM不予处理
- 输入保持：作者发现不仅是输入值，输入持续的时间也会影响固件逻辑的执行

1）模拟器模拟了外设接口，而不是外设本身；2）模拟接口要与固件提供的外设行为相同，以便顺利运行

该文章模拟的寄存器为①②类，③由于不同设备差异较大不涉及。

外设寄存器会被映射到固定内存区域（0x40000000-0x5fffffff）

Control Registers（CR）：

Access Pattern：RMW，大部分为先读，再修改，再写回。因为可能会有其他控制参数。所以需要先保存数据。小部分会是直接写入，模型会分类为DR（Data Registers），但是此类寄存器之后不会在被读取，因此对固件运行没有影响。
Access Handling：模拟器将分类好的CR作为永久变量，不再改变。

Status Registers（SR）：

Access Pattern：若对寄存器访问为非条件读，且读取到的值作为了判断条件。则可以作为SR。部分情况下，可能会是直接写入，则会导致SR错判为DR，不过可以在后续再次访问时进行修改（polls）
Access handling：SR经常变化，P2IM使用探索式执行的方式来自动推断SR值（遍历取最优），对于SR的写操作则显得没有必要，因此直接忽略SR写入。

Data Registers（DR）：