作者 | Nia Catlin 译者 | 弯月
出品 | CSDN(ID:CSDNnews)
在本文中,我们将针对 13 种不同语言编写的“Hello World”演示程序,收集并可视化各个语言的指令踪迹。注意:本文主要展示了一些图表和统计结果,如果想了解指令踪迹技术细节,请参见这篇文章(https://ncatlin.github.io/rgatPages/instrumentation/pin/2021/11/03/gathering-traces.html)。
方法论:测试程序是使用最新版本的 x64 编译工具,在 Windows 10 上编译 Hello World Collection 而获得的。
图表按照 Pin 工具记录的总执行指令数排序。原始的指令数使用Intel Pin Kit提供的Pintool收集,这些数字包含了Windows库中的代码。但是Windows目录下的代码不会在踪迹中显示,因此图中的指令数远远少于原始指令数。文中的“节点”指的都是特定地址上的指令,而“执行的指令”指的是指令总共被执行的次数。
我们选择的编程语言都来自 GitHub 的流行语言排行榜。
简介
本文的主要内容如下:
介绍
x64 汇编(MASM)
C(GCC 4.8.3)
C++(MSVC14.29.30133,Visual Studio 社区版2019)
Ada(GNATStudio 社区 2021 [20210423])
Rust(1.56.1)
Delphi(EmbarcaderoDelphi 10.4 社区版)
Golang (go1.17.3windows/amd64) [失败]
AutoIt(v3,用 Aut2exe 打包成了一个 EXE)
Java(OpenJDK RuntimeEnvironment(build 17.0.1+12-39),用JRE直接执行)
C#(.NET 5,自包含的可执行文件)
Javascript(Node.jswindows-x64-17.1.0,用 nexe打包)
Python(CPython3.10, 由 PyInstaller 打包)
Ruby(ruby3.0.2p107, 由解释器直接执行)
总结
x64汇编(MASM)
原始指令总数(包括 windows 库)
指令总数:220,029
基本块总数:49,627
比较基准如下:
没有特别之处,只有 11 个指令和几个 API 调用。
C(GCC 4.8.3)
原始指令总数(包括 windows 库)
指令总数:662,569
基本块总数:151,304
编译器给汇编指令填充了初始化栈的代码和和 C 运行时库。共计 536 个节点,执行了 1100 条指令。
C++(MSVC14.29.30133,Visual Studio 社区版2019)
原始指令总数(包括 windows 库)
指令总数:2,413,122
基本块总数:568,565
总共 520 个节点,执行了 511 条指令。
由于 API 使用量的增加,VC++ 输出执行的指令数量更多。实际执行的代码要少于GCC的C语言输出结果。
Ada(GNATStudio 社区 2021 [20210423])
原始指令总数(包括 windows 库)
指令总数:2,034,262
基本块总数:465,783
一般来说,恶意软件作者不太喜欢使用这种语言。只是我个人比较好奇这个庞大的委员会设计的语言究竟如何。
总共 3700 个节点,执行了 55.24K 条指令。
在标准的设置代码下面是一长串小循环。
Rust(1.56.1)
原始指令总数(包括 windows 库)
指令总数:4,326,506
基本块总数:984,090
上述绝大多数指令都在 Windows 库的调用中,Rust 的输出非常简单。
总共 1946 个节点,执行了 2.37K 条指令。
Delphi(EmbarcaderoDelphi 10.4 社区版)
原始指令总数(包括 windows 库)
指令总数:5,293,646
基本块总数:1,191,836
Delphi的设置代码担负起了一些实际的工作。总共2013 个节点,执行 56.5K 条指令。
Golang(go1.17.3 windows/amd64) [失败]
原始指令总数(包括 windows 库)
指令总数:? (> 5,956,506)
基本块总数:? (> 1,308,592)
Go的二进制文件逆向工程非常难,这个HelloWorld也不例外——在设置结束之前Pin就崩溃了。
尝试执行初始指令统计,结果如下:
Exception 0xc0000005 0x0 0xc000053d00 0xc000053d00PC=0xc000053d00runtime: unknown pc 0xc000053d00stack: frame={sp:0xc000053bd0, fp:0x0}stack=[0xc000052000,0xc000054000)0x000000c000053ad0: 0x0000000000000000 0x00000000000000000x000000c000053ae0: 0x0000000000000000 0x00000000000000000x000000c000053af0: 0x0000000000000000 0x00000000000000000x000000c000053b00: 0x0000000000000000 0x00000000000000000x000000c000053b10: 0x0000000000000000 0x00000000000000000x000000c000053b20: 0x0000000000000000 0x0000000000000000
rgat的 pintool 也遭遇了类似的命运,以下只是部分图:
主线程崩溃之前得到的结果。总共 2万5千个节点, 177万条指令。
AutoIt(v3,用 Aut2exe 打包成了一个 EXE)
原始指令总数(包括 windows 库)
指令总数:23,807,052
基本块总数:5,376,610
我以为执行到 2300万条指令时会出现问题,但 AutoIt 生成了非常紧凑的图形。它一定是调用了大量的 Windows API。
总共 14,890 个节点,25.1 万条指令。圆柱图由于一个巨大的基本块而变形了。
Java(OpenJDKRuntime Environment(build 17.0.1+12-39),用JRE直接执行)
原始指令总数(包括 windows 库)
指令总数:101,474,902
基本块总数:20,404,201
Java是唯一一个生成了许多复杂线程的语言,所以形成了很多图形:
C#(.NET 5,自包含的可执行文件)
原始指令总数(包括 windows 库)
指令总数:115,535,357
基本块总数:25,272,210
与 Ruby 和 Python 相比,C#执行的指令数量相对较少。我以为这门语言比较容易跟踪处理,但最后生成的线程超过了 50 个,而且还有 28 万多个节点。
圆柱图。从左到右分别为:控制流图、热图和节点度渲染
复杂性都集中在线程上,Pin 目前不提供访问 Windows 命名管道的安全方式,而 rgat 依赖于Windows命名管道进行通信,它需要为每个线程生成一个管道,所以实际上每个线程都有可能产生死锁。指令计数器 pintool 只能看到 12 个线程,因此它可能正常地生成了线程。
节点数量也超出了我们可以使用 Fruchterman-Reingold 创建的力导向图。
Javascript(Node.jswindows-x64-17.1.0,用 nexe打包)
原始指令总数(包括 windows 库)
指令总数:234,399,444
基本块总数:41,162,137
主线程的力导向图符合预期——不难想象,2.05亿条指令生成的踪迹图,如果施加一个牵引力试图让它更好看些,那就会是这个样子。图中共有36万个节点。
热图还是很有用的。
图中未显示一些较小(更简单)的线程,如果统计进来指令数量将再增加几百万。
Python(CPython3.10, 由 PyInstaller 打包)
原始指令总数(包括 windows 库)
指令总数:268,1086,59
基本块总数:39,159,539
Python的解释器虽然比较大,但跟踪起来最简单,因为所有指令都是在单个线程内执行到,而且没有 JIT 代码,最后得到的图形只有 13,483 个节点。
Python3 的 Hello World 程序得出的力导向图,共计 2.6413 亿条指令(13,483 条唯一指令)。
Ruby(ruby3.0.2p107, 由解释器直接执行)
原始指令总数(包括 windows 库)
指令总数:314,162,380
基本块总数:63,395,930
现代处理器处理 3.14 亿条指令只在眨眼间,但记录和绘制指令轨迹非常有难度。
Ruby是最易于使用的 JIT 语言,它的绝大多数指令都发生在单个线程中。
针对15 万个高度连接的节点生成力导向图的标准结果。这些指令总共执行了 2.35 亿多次。为了清晰起见,返回指令对应的边和之前见过的指令对应的边都被淡化了。
圆柱热图用绿色显示了单次执行(主要是 JIT)的代码,然后是启动解释器后出现的更多循环控制流(所有其他颜色)。
参考链接:
https://ncatlin.github.io/rgatPages/tracing/2021/11/19/visualising-hello-world.html