QEMU作为一款emulator进行模拟的主要方式是binary translation，将目标代码转换成TCG IR再转换成宿主机的代码执行，于是在中间TCG生成时就可以通过插入一些代码来完成插桩的任务。而要完成这一任务首先我们得知道如何在TCG中插入一个helper.

最近在CTF中QEMU逃逸题目出现的频率也越来越高了，在这里记录一下常见的攻击面和进行交互的方式。对于虚拟化逃逸来说，其实就是打hypervisor这个用户态的程序，所以在明白交互的原理之后流程就和一般的pwn差不多了。