[ARM] Identity shuffles are legal
[llvm-complete.git] / docs / LibFuzzer.rst
blobe38489014e69ec9ff720ff1989edd088978caa93
1 =======================================================
2 libFuzzer – a library for coverage-guided fuzz testing.
3 =======================================================
4 .. contents::
5    :local:
6    :depth: 1
8 Introduction
9 ============
11 LibFuzzer is in-process, coverage-guided, evolutionary fuzzing engine.
13 LibFuzzer is linked with the library under test, and feeds fuzzed inputs to the
14 library via a specific fuzzing entrypoint (aka "target function"); the fuzzer
15 then tracks which areas of the code are reached, and generates mutations on the
16 corpus of input data in order to maximize the code coverage.
17 The code coverage
18 information for libFuzzer is provided by LLVM's SanitizerCoverage_
19 instrumentation.
21 Contact: libfuzzer(#)googlegroups.com
23 Versions
24 ========
26 LibFuzzer is under active development so you will need the current
27 (or at least a very recent) version of the Clang compiler (see `building Clang from trunk`_)
29 Refer to https://releases.llvm.org/5.0.0/docs/LibFuzzer.html for documentation on the older version.
32 Getting Started
33 ===============
35 .. contents::
36    :local:
37    :depth: 1
39 Fuzz Target
40 -----------
42 The first step in using libFuzzer on a library is to implement a
43 *fuzz target* -- a function that accepts an array of bytes and
44 does something interesting with these bytes using the API under test.
45 Like this:
47 .. code-block:: c++
49   // fuzz_target.cc
50   extern "C" int LLVMFuzzerTestOneInput(const uint8_t *Data, size_t Size) {
51     DoSomethingInterestingWithMyAPI(Data, Size);
52     return 0;  // Non-zero return values are reserved for future use.
53   }
55 Note that this fuzz target does not depend on libFuzzer in any way
56 and so it is possible and even desirable to use it with other fuzzing engines
57 e.g. AFL_ and/or Radamsa_.
59 Some important things to remember about fuzz targets:
61 * The fuzzing engine will execute the fuzz target many times with different inputs in the same process.
62 * It must tolerate any kind of input (empty, huge, malformed, etc).
63 * It must not `exit()` on any input.
64 * It may use threads but ideally all threads should be joined at the end of the function.
65 * It must be as deterministic as possible. Non-determinism (e.g. random decisions not based on the input bytes) will make fuzzing inefficient.
66 * It must be fast. Try avoiding cubic or greater complexity, logging, or excessive memory consumption.
67 * Ideally, it should not modify any global state (although that's not strict).
68 * Usually, the narrower the target the better. E.g. if your target can parse several data formats, split it into several targets, one per format.
71 Fuzzer Usage
72 ------------
74 Recent versions of Clang (starting from 6.0) include libFuzzer, and no extra installation is necessary.
76 In order to build your fuzzer binary, use the `-fsanitize=fuzzer` flag during the
77 compilation and linking. In most cases you may want to combine libFuzzer with
78 AddressSanitizer_ (ASAN), UndefinedBehaviorSanitizer_ (UBSAN), or both.  You can
79 also build with MemorySanitizer_ (MSAN), but support is experimental::
81    clang -g -O1 -fsanitize=fuzzer                         mytarget.c # Builds the fuzz target w/o sanitizers
82    clang -g -O1 -fsanitize=fuzzer,address                 mytarget.c # Builds the fuzz target with ASAN
83    clang -g -O1 -fsanitize=fuzzer,signed-integer-overflow mytarget.c # Builds the fuzz target with a part of UBSAN
84    clang -g -O1 -fsanitize=fuzzer,memory                  mytarget.c # Builds the fuzz target with MSAN
86 This will perform the necessary instrumentation, as well as linking with the libFuzzer library.
87 Note that ``-fsanitize=fuzzer`` links in the libFuzzer's ``main()`` symbol.
89 If modifying ``CFLAGS`` of a large project, which also compiles executables
90 requiring their own ``main`` symbol, it may be desirable to request just the
91 instrumentation without linking::
93    clang -fsanitize=fuzzer-no-link mytarget.c
95 Then libFuzzer can be linked to the desired driver by passing in
96 ``-fsanitize=fuzzer`` during the linking stage.
98 .. _libfuzzer-corpus:
100 Corpus
101 ------
103 Coverage-guided fuzzers like libFuzzer rely on a corpus of sample inputs for the
104 code under test.  This corpus should ideally be seeded with a varied collection
105 of valid and invalid inputs for the code under test; for example, for a graphics
106 library the initial corpus might hold a variety of different small PNG/JPG/GIF
107 files.  The fuzzer generates random mutations based around the sample inputs in
108 the current corpus.  If a mutation triggers execution of a previously-uncovered
109 path in the code under test, then that mutation is saved to the corpus for
110 future variations.
112 LibFuzzer will work without any initial seeds, but will be less
113 efficient if the library under test accepts complex,
114 structured inputs.
116 The corpus can also act as a sanity/regression check, to confirm that the
117 fuzzing entrypoint still works and that all of the sample inputs run through
118 the code under test without problems.
120 If you have a large corpus (either generated by fuzzing or acquired by other means)
121 you may want to minimize it while still preserving the full coverage. One way to do that
122 is to use the `-merge=1` flag:
124 .. code-block:: console
126   mkdir NEW_CORPUS_DIR  # Store minimized corpus here.
127   ./my_fuzzer -merge=1 NEW_CORPUS_DIR FULL_CORPUS_DIR
129 You may use the same flag to add more interesting items to an existing corpus.
130 Only the inputs that trigger new coverage will be added to the first corpus.
132 .. code-block:: console
134   ./my_fuzzer -merge=1 CURRENT_CORPUS_DIR NEW_POTENTIALLY_INTERESTING_INPUTS_DIR
136 Running
137 -------
139 To run the fuzzer, first create a Corpus_ directory that holds the
140 initial "seed" sample inputs:
142 .. code-block:: console
144   mkdir CORPUS_DIR
145   cp /some/input/samples/* CORPUS_DIR
147 Then run the fuzzer on the corpus directory:
149 .. code-block:: console
151   ./my_fuzzer CORPUS_DIR  # -max_len=1000 -jobs=20 ...
153 As the fuzzer discovers new interesting test cases (i.e. test cases that
154 trigger coverage of new paths through the code under test), those test cases
155 will be added to the corpus directory.
157 By default, the fuzzing process will continue indefinitely – at least until
158 a bug is found.  Any crashes or sanitizer failures will be reported as usual,
159 stopping the fuzzing process, and the particular input that triggered the bug
160 will be written to disk (typically as ``crash-<sha1>``, ``leak-<sha1>``,
161 or ``timeout-<sha1>``).
164 Parallel Fuzzing
165 ----------------
167 Each libFuzzer process is single-threaded, unless the library under test starts
168 its own threads.  However, it is possible to run multiple libFuzzer processes in
169 parallel with a shared corpus directory; this has the advantage that any new
170 inputs found by one fuzzer process will be available to the other fuzzer
171 processes (unless you disable this with the ``-reload=0`` option).
173 This is primarily controlled by the ``-jobs=N`` option, which indicates that
174 that `N` fuzzing jobs should be run to completion (i.e. until a bug is found or
175 time/iteration limits are reached).  These jobs will be run across a set of
176 worker processes, by default using half of the available CPU cores; the count of
177 worker processes can be overridden by the ``-workers=N`` option.  For example,
178 running with ``-jobs=30`` on a 12-core machine would run 6 workers by default,
179 with each worker averaging 5 bugs by completion of the entire process.
181 Fork mode
182 ---------
184 **Experimental** mode ``-fork=N`` (where ``N`` is the number of parallel jobs)
185 enables oom-, timeout-, and crash-resistant
186 fuzzing with separate processes (using ``fork-exec``, not just ``fork``).
188 The top libFuzzer process will not do any fuzzing itself, but will
189 spawn up to ``N`` concurrent child processes providing them
190 small random subsets of the corpus. After a child exits, the top process
191 merges the corpus generated by the child back to the main corpus.
193 Related flags:
195 ``-ignore_ooms``
196   True by default. If an OOM happens during fuzzing in one of the child processes,
197   the reproducer is saved on disk, and fuzzing continues.
198 ``-ignore_timeouts``
199   True by default, same as ``-ignore_ooms``, but for timeouts.
200 ``-ignore_crashes``
201   False by default, same as ``-ignore_ooms``, but for all other crashes.
203 The plan is to eventually replace ``-jobs=N`` and ``-workers=N`` with ``-fork=N``.
205 Resuming merge
206 --------------
208 Merging large corpora may be time consuming, and it is often desirable to do it
209 on preemptable VMs, where the process may be killed at any time.
210 In order to seamlessly resume the merge, use the ``-merge_control_file`` flag
211 and use ``killall -SIGUSR1 /path/to/fuzzer/binary`` to stop the merge gracefully. Example:
213 .. code-block:: console
215   % rm -f SomeLocalPath
216   % ./my_fuzzer CORPUS1 CORPUS2 -merge=1 -merge_control_file=SomeLocalPath
217   ...
218   MERGE-INNER: using the control file 'SomeLocalPath'
219   ...
220   # While this is running, do `killall -SIGUSR1 my_fuzzer` in another console
221   ==9015== INFO: libFuzzer: exiting as requested
223   # This will leave the file SomeLocalPath with the partial state of the merge.
224   # Now, you can continue the merge by executing the same command. The merge
225   # will continue from where it has been interrupted.
226   % ./my_fuzzer CORPUS1 CORPUS2 -merge=1 -merge_control_file=SomeLocalPath
227   ...
228   MERGE-OUTER: non-empty control file provided: 'SomeLocalPath'
229   MERGE-OUTER: control file ok, 32 files total, first not processed file 20
230   ...
232 Options
233 =======
235 To run the fuzzer, pass zero or more corpus directories as command line
236 arguments.  The fuzzer will read test inputs from each of these corpus
237 directories, and any new test inputs that are generated will be written
238 back to the first corpus directory:
240 .. code-block:: console
242   ./fuzzer [-flag1=val1 [-flag2=val2 ...] ] [dir1 [dir2 ...] ]
244 If a list of files (rather than directories) are passed to the fuzzer program,
245 then it will re-run those files as test inputs but will not perform any fuzzing.
246 In this mode the fuzzer binary can be used as a regression test (e.g. on a
247 continuous integration system) to check the target function and saved inputs
248 still work.
250 The most important command line options are:
252 ``-help``
253   Print help message.
254 ``-seed``
255   Random seed. If 0 (the default), the seed is generated.
256 ``-runs``
257   Number of individual test runs, -1 (the default) to run indefinitely.
258 ``-max_len``
259   Maximum length of a test input. If 0 (the default), libFuzzer tries to guess
260   a good value based on the corpus (and reports it).
261 ``len_control``
262   Try generating small inputs first, then try larger inputs over time.
263   Specifies the rate at which the length limit is increased (smaller == faster).
264   Default is 100. If 0, immediately try inputs with size up to max_len.
265 ``-timeout``
266   Timeout in seconds, default 1200. If an input takes longer than this timeout,
267   the process is treated as a failure case.
268 ``-rss_limit_mb``
269   Memory usage limit in Mb, default 2048. Use 0 to disable the limit.
270   If an input requires more than this amount of RSS memory to execute,
271   the process is treated as a failure case.
272   The limit is checked in a separate thread every second.
273   If running w/o ASAN/MSAN, you may use 'ulimit -v' instead.
274 ``-malloc_limit_mb``
275   If non-zero, the fuzzer will exit if the target tries to allocate this
276   number of Mb with one malloc call.
277   If zero (default) same limit as rss_limit_mb is applied.
278 ``-timeout_exitcode``
279   Exit code (default 77) used if libFuzzer reports a timeout.
280 ``-error_exitcode``
281   Exit code (default 77) used if libFuzzer itself (not a sanitizer) reports a bug (leak, OOM, etc).
282 ``-max_total_time``
283   If positive, indicates the maximum total time in seconds to run the fuzzer.
284   If 0 (the default), run indefinitely.
285 ``-merge``
286   If set to 1, any corpus inputs from the 2nd, 3rd etc. corpus directories
287   that trigger new code coverage will be merged into the first corpus
288   directory.  Defaults to 0. This flag can be used to minimize a corpus.
289 ``-merge_control_file``
290   Specify a control file used for the merge proccess.
291   If a merge process gets killed it tries to leave this file in a state
292   suitable for resuming the merge. By default a temporary file will be used.
293 ``-minimize_crash``
294   If 1, minimizes the provided crash input.
295   Use with -runs=N or -max_total_time=N to limit the number of attempts.
296 ``-reload``
297   If set to 1 (the default), the corpus directory is re-read periodically to
298   check for new inputs; this allows detection of new inputs that were discovered
299   by other fuzzing processes.
300 ``-jobs``
301   Number of fuzzing jobs to run to completion. Default value is 0, which runs a
302   single fuzzing process until completion.  If the value is >= 1, then this
303   number of jobs performing fuzzing are run, in a collection of parallel
304   separate worker processes; each such worker process has its
305   ``stdout``/``stderr`` redirected to ``fuzz-<JOB>.log``.
306 ``-workers``
307   Number of simultaneous worker processes to run the fuzzing jobs to completion
308   in. If 0 (the default), ``min(jobs, NumberOfCpuCores()/2)`` is used.
309 ``-dict``
310   Provide a dictionary of input keywords; see Dictionaries_.
311 ``-use_counters``
312   Use `coverage counters`_ to generate approximate counts of how often code
313   blocks are hit; defaults to 1.
314 ``-reduce_inputs``
315   Try to reduce the size of inputs while preserving their full feature sets;
316   defaults to 1.
317 ``-use_value_profile``
318   Use `value profile`_ to guide corpus expansion; defaults to 0.
319 ``-only_ascii``
320   If 1, generate only ASCII (``isprint``+``isspace``) inputs. Defaults to 0.
321 ``-artifact_prefix``
322   Provide a prefix to use when saving fuzzing artifacts (crash, timeout, or
323   slow inputs) as ``$(artifact_prefix)file``.  Defaults to empty.
324 ``-exact_artifact_path``
325   Ignored if empty (the default).  If non-empty, write the single artifact on
326   failure (crash, timeout) as ``$(exact_artifact_path)``. This overrides
327   ``-artifact_prefix`` and will not use checksum in the file name. Do not use
328   the same path for several parallel processes.
329 ``-print_pcs``
330   If 1, print out newly covered PCs. Defaults to 0.
331 ``-print_final_stats``
332   If 1, print statistics at exit.  Defaults to 0.
333 ``-detect_leaks``
334   If 1 (default) and if LeakSanitizer is enabled
335   try to detect memory leaks during fuzzing (i.e. not only at shut down).
336 ``-close_fd_mask``
337   Indicate output streams to close at startup. Be careful, this will
338   remove diagnostic output from target code (e.g. messages on assert failure).
340    - 0 (default): close neither ``stdout`` nor ``stderr``
341    - 1 : close ``stdout``
342    - 2 : close ``stderr``
343    - 3 : close both ``stdout`` and ``stderr``.
345 For the full list of flags run the fuzzer binary with ``-help=1``.
347 Output
348 ======
350 During operation the fuzzer prints information to ``stderr``, for example::
352   INFO: Seed: 1523017872
353   INFO: Loaded 1 modules (16 guards): [0x744e60, 0x744ea0), 
354   INFO: -max_len is not provided, using 64
355   INFO: A corpus is not provided, starting from an empty corpus
356   #0    READ units: 1
357   #1    INITED cov: 3 ft: 2 corp: 1/1b exec/s: 0 rss: 24Mb
358   #3811 NEW    cov: 4 ft: 3 corp: 2/2b exec/s: 0 rss: 25Mb L: 1 MS: 5 ChangeBit-ChangeByte-ChangeBit-ShuffleBytes-ChangeByte-
359   #3827 NEW    cov: 5 ft: 4 corp: 3/4b exec/s: 0 rss: 25Mb L: 2 MS: 1 CopyPart-
360   #3963 NEW    cov: 6 ft: 5 corp: 4/6b exec/s: 0 rss: 25Mb L: 2 MS: 2 ShuffleBytes-ChangeBit-
361   #4167 NEW    cov: 7 ft: 6 corp: 5/9b exec/s: 0 rss: 25Mb L: 3 MS: 1 InsertByte-
362   ...
364 The early parts of the output include information about the fuzzer options and
365 configuration, including the current random seed (in the ``Seed:`` line; this
366 can be overridden with the ``-seed=N`` flag).
368 Further output lines have the form of an event code and statistics.  The
369 possible event codes are:
371 ``READ``
372   The fuzzer has read in all of the provided input samples from the corpus
373   directories.
374 ``INITED``
375   The fuzzer has completed initialization, which includes running each of
376   the initial input samples through the code under test.
377 ``NEW``
378   The fuzzer has created a test input that covers new areas of the code
379   under test.  This input will be saved to the primary corpus directory.
380 ``REDUCE``
381   The fuzzer has found a better (smaller) input that triggers previously
382   discovered features (set ``-reduce_inputs=0`` to disable).
383 ``pulse``
384   The fuzzer has generated 2\ :sup:`n` inputs (generated periodically to reassure
385   the user that the fuzzer is still working).
386 ``DONE``
387   The fuzzer has completed operation because it has reached the specified
388   iteration limit (``-runs``) or time limit (``-max_total_time``).
389 ``RELOAD``
390   The fuzzer is performing a periodic reload of inputs from the corpus
391   directory; this allows it to discover any inputs discovered by other
392   fuzzer processes (see `Parallel Fuzzing`_).
394 Each output line also reports the following statistics (when non-zero):
396 ``cov:``
397   Total number of code blocks or edges covered by executing the current corpus.
398 ``ft:``
399   libFuzzer uses different signals to evaluate the code coverage:
400   edge coverage, edge counters, value profiles, indirect caller/callee pairs, etc.
401   These signals combined are called *features* (`ft:`).
402 ``corp:``
403   Number of entries in the current in-memory test corpus and its size in bytes.
404 ``lim:``
405   Current limit on the length of new entries in the corpus.  Increases over time
406   until the max length (``-max_len``) is reached.
407 ``exec/s:``
408   Number of fuzzer iterations per second.
409 ``rss:``
410   Current memory consumption.
412 For ``NEW`` events, the output line also includes information about the mutation
413 operation that produced the new input:
415 ``L:``
416   Size of the new input in bytes.
417 ``MS: <n> <operations>``
418   Count and list of the mutation operations used to generate the input.
421 Examples
422 ========
423 .. contents::
424    :local:
425    :depth: 1
427 Toy example
428 -----------
430 A simple function that does something interesting if it receives the input
431 "HI!"::
433   cat << EOF > test_fuzzer.cc
434   #include <stdint.h>
435   #include <stddef.h>
436   extern "C" int LLVMFuzzerTestOneInput(const uint8_t *data, size_t size) {
437     if (size > 0 && data[0] == 'H')
438       if (size > 1 && data[1] == 'I')
439          if (size > 2 && data[2] == '!')
440          __builtin_trap();
441     return 0;
442   }
443   EOF
444   # Build test_fuzzer.cc with asan and link against libFuzzer.
445   clang++ -fsanitize=address,fuzzer test_fuzzer.cc
446   # Run the fuzzer with no corpus.
447   ./a.out
449 You should get an error pretty quickly::
451   INFO: Seed: 1523017872
452   INFO: Loaded 1 modules (16 guards): [0x744e60, 0x744ea0), 
453   INFO: -max_len is not provided, using 64
454   INFO: A corpus is not provided, starting from an empty corpus
455   #0    READ units: 1
456   #1    INITED cov: 3 ft: 2 corp: 1/1b exec/s: 0 rss: 24Mb
457   #3811 NEW    cov: 4 ft: 3 corp: 2/2b exec/s: 0 rss: 25Mb L: 1 MS: 5 ChangeBit-ChangeByte-ChangeBit-ShuffleBytes-ChangeByte-
458   #3827 NEW    cov: 5 ft: 4 corp: 3/4b exec/s: 0 rss: 25Mb L: 2 MS: 1 CopyPart-
459   #3963 NEW    cov: 6 ft: 5 corp: 4/6b exec/s: 0 rss: 25Mb L: 2 MS: 2 ShuffleBytes-ChangeBit-
460   #4167 NEW    cov: 7 ft: 6 corp: 5/9b exec/s: 0 rss: 25Mb L: 3 MS: 1 InsertByte-
461   ==31511== ERROR: libFuzzer: deadly signal
462   ...
463   artifact_prefix='./'; Test unit written to ./crash-b13e8756b13a00cf168300179061fb4b91fefbed
466 More examples
467 -------------
469 Examples of real-life fuzz targets and the bugs they find can be found
470 at http://tutorial.libfuzzer.info. Among other things you can learn how
471 to detect Heartbleed_ in one second.
474 Advanced features
475 =================
476 .. contents::
477    :local:
478    :depth: 1
480 Dictionaries
481 ------------
482 LibFuzzer supports user-supplied dictionaries with input language keywords
483 or other interesting byte sequences (e.g. multi-byte magic values).
484 Use ``-dict=DICTIONARY_FILE``. For some input languages using a dictionary
485 may significantly improve the search speed.
486 The dictionary syntax is similar to that used by AFL_ for its ``-x`` option::
488   # Lines starting with '#' and empty lines are ignored.
490   # Adds "blah" (w/o quotes) to the dictionary.
491   kw1="blah"
492   # Use \\ for backslash and \" for quotes.
493   kw2="\"ac\\dc\""
494   # Use \xAB for hex values
495   kw3="\xF7\xF8"
496   # the name of the keyword followed by '=' may be omitted:
497   "foo\x0Abar"
501 Tracing CMP instructions
502 ------------------------
504 With an additional compiler flag ``-fsanitize-coverage=trace-cmp``
505 (on by default as part of ``-fsanitize=fuzzer``, see SanitizerCoverageTraceDataFlow_)
506 libFuzzer will intercept CMP instructions and guide mutations based
507 on the arguments of intercepted CMP instructions. This may slow down
508 the fuzzing but is very likely to improve the results.
510 Value Profile
511 -------------
513 With  ``-fsanitize-coverage=trace-cmp`` (default with ``-fsanitize=fuzzer``)
514 and extra run-time flag ``-use_value_profile=1`` the fuzzer will
515 collect value profiles for the parameters of compare instructions
516 and treat some new values as new coverage.
518 The current imlpementation does roughly the following:
520 * The compiler instruments all CMP instructions with a callback that receives both CMP arguments.
521 * The callback computes `(caller_pc&4095) | (popcnt(Arg1 ^ Arg2) << 12)` and uses this value to set a bit in a bitset.
522 * Every new observed bit in the bitset is treated as new coverage.
525 This feature has a potential to discover many interesting inputs,
526 but there are two downsides.
527 First, the extra instrumentation may bring up to 2x additional slowdown.
528 Second, the corpus may grow by several times.
530 Fuzzer-friendly build mode
531 ---------------------------
532 Sometimes the code under test is not fuzzing-friendly. Examples:
534   - The target code uses a PRNG seeded e.g. by system time and
535     thus two consequent invocations may potentially execute different code paths
536     even if the end result will be the same. This will cause a fuzzer to treat
537     two similar inputs as significantly different and it will blow up the test corpus.
538     E.g. libxml uses ``rand()`` inside its hash table.
539   - The target code uses checksums to protect from invalid inputs.
540     E.g. png checks CRC for every chunk.
542 In many cases it makes sense to build a special fuzzing-friendly build
543 with certain fuzzing-unfriendly features disabled. We propose to use a common build macro
544 for all such cases for consistency: ``FUZZING_BUILD_MODE_UNSAFE_FOR_PRODUCTION``.
546 .. code-block:: c++
548   void MyInitPRNG() {
549   #ifdef FUZZING_BUILD_MODE_UNSAFE_FOR_PRODUCTION
550     // In fuzzing mode the behavior of the code should be deterministic.
551     srand(0);
552   #else
553     srand(time(0));
554   #endif
555   }
559 AFL compatibility
560 -----------------
561 LibFuzzer can be used together with AFL_ on the same test corpus.
562 Both fuzzers expect the test corpus to reside in a directory, one file per input.
563 You can run both fuzzers on the same corpus, one after another:
565 .. code-block:: console
567   ./afl-fuzz -i testcase_dir -o findings_dir /path/to/program @@
568   ./llvm-fuzz testcase_dir findings_dir  # Will write new tests to testcase_dir
570 Periodically restart both fuzzers so that they can use each other's findings.
571 Currently, there is no simple way to run both fuzzing engines in parallel while sharing the same corpus dir.
573 You may also use AFL on your target function ``LLVMFuzzerTestOneInput``:
574 see an example `here <https://github.com/llvm/llvm-project/tree/master/compiler-rt/lib/fuzzer/afl>`__.
576 How good is my fuzzer?
577 ----------------------
579 Once you implement your target function ``LLVMFuzzerTestOneInput`` and fuzz it to death,
580 you will want to know whether the function or the corpus can be improved further.
581 One easy to use metric is, of course, code coverage.
583 We recommend to use
584 `Clang Coverage <http://clang.llvm.org/docs/SourceBasedCodeCoverage.html>`_,
585 to visualize and study your code coverage
586 (`example <https://github.com/google/fuzzer-test-suite/blob/master/tutorial/libFuzzerTutorial.md#visualizing-coverage>`_).
589 User-supplied mutators
590 ----------------------
592 LibFuzzer allows to use custom (user-supplied) mutators, see
593 `Structure-Aware Fuzzing <https://github.com/google/fuzzing/blob/master/docs/structure-aware-fuzzing.md>`_
594 for more details.
596 Startup initialization
597 ----------------------
598 If the library being tested needs to be initialized, there are several options.
600 The simplest way is to have a statically initialized global object inside
601 `LLVMFuzzerTestOneInput` (or in global scope if that works for you):
603 .. code-block:: c++
605   extern "C" int LLVMFuzzerTestOneInput(const uint8_t *Data, size_t Size) {
606     static bool Initialized = DoInitialization();
607     ...
609 Alternatively, you may define an optional init function and it will receive
610 the program arguments that you can read and modify. Do this **only** if you
611 really need to access ``argv``/``argc``.
613 .. code-block:: c++
615    extern "C" int LLVMFuzzerInitialize(int *argc, char ***argv) {
616     ReadAndMaybeModify(argc, argv);
617     return 0;
618    }
621 Leaks
622 -----
624 Binaries built with AddressSanitizer_ or LeakSanitizer_ will try to detect
625 memory leaks at the process shutdown.
626 For in-process fuzzing this is inconvenient
627 since the fuzzer needs to report a leak with a reproducer as soon as the leaky
628 mutation is found. However, running full leak detection after every mutation
629 is expensive.
631 By default (``-detect_leaks=1``) libFuzzer will count the number of
632 ``malloc`` and ``free`` calls when executing every mutation.
633 If the numbers don't match (which by itself doesn't mean there is a leak)
634 libFuzzer will invoke the more expensive LeakSanitizer_
635 pass and if the actual leak is found, it will be reported with the reproducer
636 and the process will exit.
638 If your target has massive leaks and the leak detection is disabled
639 you will eventually run out of RAM (see the ``-rss_limit_mb`` flag).
642 Developing libFuzzer
643 ====================
645 LibFuzzer is built as a part of LLVM project by default on macos and Linux.
646 Users of other operating systems can explicitly request compilation using
647 ``-DLIBFUZZER_ENABLE=YES`` flag.
648 Tests are run using ``check-fuzzer`` target from the build directory
649 which was configured with ``-DLIBFUZZER_ENABLE_TESTS=ON`` flag.
651 .. code-block:: console
653     ninja check-fuzzer
657 =========================
659 Q. Why doesn't libFuzzer use any of the LLVM support?
660 -----------------------------------------------------
662 There are two reasons.
664 First, we want this library to be used outside of the LLVM without users having to
665 build the rest of LLVM. This may sound unconvincing for many LLVM folks,
666 but in practice the need for building the whole LLVM frightens many potential
667 users -- and we want more users to use this code.
669 Second, there is a subtle technical reason not to rely on the rest of LLVM, or
670 any other large body of code (maybe not even STL). When coverage instrumentation
671 is enabled, it will also instrument the LLVM support code which will blow up the
672 coverage set of the process (since the fuzzer is in-process). In other words, by
673 using more external dependencies we will slow down the fuzzer while the main
674 reason for it to exist is extreme speed.
676 Q. Does libFuzzer Support Windows?
677 ------------------------------------------------------------------------------------
679 Yes, libFuzzer now supports Windows. Initial support was added in r341082.
680 Any build of Clang 9 supports it. You can download a build of Clang for Windows
681 that has libFuzzer from
682 `LLVM Snapshot Builds <https://llvm.org/builds/>`_.
684 Using libFuzzer on Windows without ASAN is unsupported. Building fuzzers with the
685 ``/MD`` (dynamic runtime library) compile option is unsupported. Support for these
686 may be added in the future. Linking fuzzers with the ``/INCREMENTAL`` link option
687 (or the ``/DEBUG`` option which implies it) is also unsupported.
689 Send any questions or comments to the mailing list: libfuzzer(#)googlegroups.com
691 Q. When libFuzzer is not a good solution for a problem?
692 ---------------------------------------------------------
694 * If the test inputs are validated by the target library and the validator
695   asserts/crashes on invalid inputs, in-process fuzzing is not applicable.
696 * Bugs in the target library may accumulate without being detected. E.g. a memory
697   corruption that goes undetected at first and then leads to a crash while
698   testing another input. This is why it is highly recommended to run this
699   in-process fuzzer with all sanitizers to detect most bugs on the spot.
700 * It is harder to protect the in-process fuzzer from excessive memory
701   consumption and infinite loops in the target library (still possible).
702 * The target library should not have significant global state that is not
703   reset between the runs.
704 * Many interesting target libraries are not designed in a way that supports
705   the in-process fuzzer interface (e.g. require a file path instead of a
706   byte array).
707 * If a single test run takes a considerable fraction of a second (or
708   more) the speed benefit from the in-process fuzzer is negligible.
709 * If the target library runs persistent threads (that outlive
710   execution of one test) the fuzzing results will be unreliable.
712 Q. So, what exactly this Fuzzer is good for?
713 --------------------------------------------
715 This Fuzzer might be a good choice for testing libraries that have relatively
716 small inputs, each input takes < 10ms to run, and the library code is not expected
717 to crash on invalid inputs.
718 Examples: regular expression matchers, text or binary format parsers, compression,
719 network, crypto.
721 Q. LibFuzzer crashes on my complicated fuzz target (but works fine for me on smaller targets).
722 ----------------------------------------------------------------------------------------------
724 Check if your fuzz target uses ``dlclose``.
725 Currently, libFuzzer doesn't support targets that call ``dlclose``,
726 this may be fixed in future.
729 Trophies
730 ========
731 * Thousands of bugs found on OSS-Fuzz:  https://opensource.googleblog.com/2017/05/oss-fuzz-five-months-later-and.html
733 * GLIBC: https://sourceware.org/glibc/wiki/FuzzingLibc
735 * MUSL LIBC: `[1] <http://git.musl-libc.org/cgit/musl/commit/?id=39dfd58417ef642307d90306e1c7e50aaec5a35c>`__ `[2] <http://www.openwall.com/lists/oss-security/2015/03/30/3>`__
737 * `pugixml <https://github.com/zeux/pugixml/issues/39>`_
739 * PCRE: Search for "LLVM fuzzer" in http://vcs.pcre.org/pcre2/code/trunk/ChangeLog?view=markup;
740   also in `bugzilla <https://bugs.exim.org/buglist.cgi?bug_status=__all__&content=libfuzzer&no_redirect=1&order=Importance&product=PCRE&query_format=specific>`_
742 * `ICU <http://bugs.icu-project.org/trac/ticket/11838>`_
744 * `Freetype <https://savannah.nongnu.org/search/?words=LibFuzzer&type_of_search=bugs&Search=Search&exact=1#options>`_
746 * `Harfbuzz <https://github.com/behdad/harfbuzz/issues/139>`_
748 * `SQLite <http://www3.sqlite.org/cgi/src/info/088009efdd56160b>`_
750 * `Python <http://bugs.python.org/issue25388>`_
752 * OpenSSL/BoringSSL: `[1] <https://boringssl.googlesource.com/boringssl/+/cb852981cd61733a7a1ae4fd8755b7ff950e857d>`_ `[2] <https://openssl.org/news/secadv/20160301.txt>`_ `[3] <https://boringssl.googlesource.com/boringssl/+/2b07fa4b22198ac02e0cee8f37f3337c3dba91bc>`_ `[4] <https://boringssl.googlesource.com/boringssl/+/6b6e0b20893e2be0e68af605a60ffa2cbb0ffa64>`_  `[5] <https://github.com/openssl/openssl/pull/931/commits/dd5ac557f052cc2b7f718ac44a8cb7ac6f77dca8>`_ `[6] <https://github.com/openssl/openssl/pull/931/commits/19b5b9194071d1d84e38ac9a952e715afbc85a81>`_
754 * `Libxml2
755   <https://bugzilla.gnome.org/buglist.cgi?bug_status=__all__&content=libFuzzer&list_id=68957&order=Importance&product=libxml2&query_format=specific>`_ and `[HT206167] <https://support.apple.com/en-gb/HT206167>`_ (CVE-2015-5312, CVE-2015-7500, CVE-2015-7942)
757 * `Linux Kernel's BPF verifier <https://github.com/iovisor/bpf-fuzzer>`_
759 * `Linux Kernel's Crypto code <https://www.spinics.net/lists/stable/msg199712.html>`_
761 * Capstone: `[1] <https://github.com/aquynh/capstone/issues/600>`__ `[2] <https://github.com/aquynh/capstone/commit/6b88d1d51eadf7175a8f8a11b690684443b11359>`__
763 * file:`[1] <http://bugs.gw.com/view.php?id=550>`__  `[2] <http://bugs.gw.com/view.php?id=551>`__  `[3] <http://bugs.gw.com/view.php?id=553>`__  `[4] <http://bugs.gw.com/view.php?id=554>`__
765 * Radare2: `[1] <https://github.com/revskills?tab=contributions&from=2016-04-09>`__
767 * gRPC: `[1] <https://github.com/grpc/grpc/pull/6071/commits/df04c1f7f6aec6e95722ec0b023a6b29b6ea871c>`__ `[2] <https://github.com/grpc/grpc/pull/6071/commits/22a3dfd95468daa0db7245a4e8e6679a52847579>`__ `[3] <https://github.com/grpc/grpc/pull/6071/commits/9cac2a12d9e181d130841092e9d40fa3309d7aa7>`__ `[4] <https://github.com/grpc/grpc/pull/6012/commits/82a91c91d01ce9b999c8821ed13515883468e203>`__ `[5] <https://github.com/grpc/grpc/pull/6202/commits/2e3e0039b30edaf89fb93bfb2c1d0909098519fa>`__ `[6] <https://github.com/grpc/grpc/pull/6106/files>`__
769 * WOFF2: `[1] <https://github.com/google/woff2/commit/a15a8ab>`__
771 * LLVM: `Clang <https://llvm.org/bugs/show_bug.cgi?id=23057>`_, `Clang-format <https://llvm.org/bugs/show_bug.cgi?id=23052>`_, `libc++ <https://llvm.org/bugs/show_bug.cgi?id=24411>`_, `llvm-as <https://llvm.org/bugs/show_bug.cgi?id=24639>`_, `Demangler <https://bugs.chromium.org/p/chromium/issues/detail?id=606626>`_, Disassembler: http://reviews.llvm.org/rL247405, http://reviews.llvm.org/rL247414, http://reviews.llvm.org/rL247416, http://reviews.llvm.org/rL247417, http://reviews.llvm.org/rL247420, http://reviews.llvm.org/rL247422.
773 * Tensorflow: `[1] <https://da-data.blogspot.com/2017/01/finding-bugs-in-tensorflow-with.html>`__
775 * Ffmpeg: `[1] <https://github.com/FFmpeg/FFmpeg/commit/c92f55847a3d9cd12db60bfcd0831ff7f089c37c>`__  `[2] <https://github.com/FFmpeg/FFmpeg/commit/25ab1a65f3acb5ec67b53fb7a2463a7368f1ad16>`__  `[3] <https://github.com/FFmpeg/FFmpeg/commit/85d23e5cbc9ad6835eef870a5b4247de78febe56>`__ `[4] <https://github.com/FFmpeg/FFmpeg/commit/04bd1b38ee6b8df410d0ab8d4949546b6c4af26a>`__
777 * `Wireshark <https://bugs.wireshark.org/bugzilla/buglist.cgi?bug_status=UNCONFIRMED&bug_status=CONFIRMED&bug_status=IN_PROGRESS&bug_status=INCOMPLETE&bug_status=RESOLVED&bug_status=VERIFIED&f0=OP&f1=OP&f2=product&f3=component&f4=alias&f5=short_desc&f7=content&f8=CP&f9=CP&j1=OR&o2=substring&o3=substring&o4=substring&o5=substring&o6=substring&o7=matches&order=bug_id%20DESC&query_format=advanced&v2=libfuzzer&v3=libfuzzer&v4=libfuzzer&v5=libfuzzer&v6=libfuzzer&v7=%22libfuzzer%22>`_
779 * `QEMU <https://researchcenter.paloaltonetworks.com/2017/09/unit42-palo-alto-networks-discovers-new-qemu-vulnerability/>`_
781 .. _pcre2: http://www.pcre.org/
782 .. _AFL: http://lcamtuf.coredump.cx/afl/
783 .. _Radamsa: https://github.com/aoh/radamsa
784 .. _SanitizerCoverage: http://clang.llvm.org/docs/SanitizerCoverage.html
785 .. _SanitizerCoverageTraceDataFlow: http://clang.llvm.org/docs/SanitizerCoverage.html#tracing-data-flow
786 .. _AddressSanitizer: http://clang.llvm.org/docs/AddressSanitizer.html
787 .. _LeakSanitizer: http://clang.llvm.org/docs/LeakSanitizer.html
788 .. _Heartbleed: http://en.wikipedia.org/wiki/Heartbleed
789 .. _FuzzerInterface.h: https://github.com/llvm/llvm-project/blob/master/compiler-rt/lib/fuzzer/FuzzerInterface.h
790 .. _3.7.0: http://llvm.org/releases/3.7.0/docs/LibFuzzer.html
791 .. _building Clang from trunk: http://clang.llvm.org/get_started.html
792 .. _MemorySanitizer: http://clang.llvm.org/docs/MemorySanitizer.html
793 .. _UndefinedBehaviorSanitizer: http://clang.llvm.org/docs/UndefinedBehaviorSanitizer.html
794 .. _`coverage counters`: http://clang.llvm.org/docs/SanitizerCoverage.html#coverage-counters
795 .. _`value profile`: #value-profile
796 .. _`caller-callee pairs`: http://clang.llvm.org/docs/SanitizerCoverage.html#caller-callee-coverage
797 .. _BoringSSL: https://boringssl.googlesource.com/boringssl/