我使用LLVM框架进行静态程序分析，使用LLVM框架中的Clang前端工具生成LLVM-IR，而LLVM-IR就是SSA形式。（但实际使用过程中发现LLVM-IR并不是严格的SSA）。

我构造了一个C程序，源码见/src/test.c

由于C语言指针的特性，同一个内存位置可能有不同的别名，因此无法保证需要分析的每一个内存位置一旦赋值都不会发生改变。这就需要将变量分为address-taken（曾被取过地址的变量）和top-level（未被取过地址的变量）两组，含有address-taken变量的程序无法完全转换成SSA，需要一些其他的机制来实现中间代码的转换。 按照这个思路，我构造的程序为：

int f() {

   int x = 10;
   int *i;
   i = &x;
   *i = 11;
   *i = *i +1;
   return a;
}

LLVM IR有3种表示形式

• text:便于阅读的文本格式，类似于汇编语言，拓展名.ll
• memory:内存格式
• bitcode:二进制格式，拓展名.bc

它们本质是等价的，所以我以text形式查看，编译命令为：

clang -S -emit-llvm -O0 test.c -o test.ll

生成的ll文件在/dist/test.ll，部分IR内容为：

  %1 = alloca i32, align 4
  %2 = alloca i32*, align 8
  store i32 6, i32* %1, align 4
  store i32* %1, i32** %2, align 8
  %3 = load i32*, i32** %2, align 8
  store i32 11, i32* %3, align 4
  %4 = load i32*, i32** %2, align 8
  %5 = load i32, i32* %4, align 4
  %6 = add nsw i32 %5, 1
  %7 = load i32*, i32** %2, align 8
  store i32 %6, i32* %7, align 4
  %8 = load i32, i32* %1, align 4
  ret i32 %8

其中有一些LLVM的基本语法：

• %：局部标识符，以%开头
• alloca：在当前函数栈帧中分配内存
• i32：32bit，4个字节整型
• align：内存对齐位数
• store：写入数据
• load：读取数据，存入一个局部标识符

为了便于您阅读，我尝试把上面的LLVM-IR形式表示成更容易读的格式：

alloca x0
alloca *y0
x0 = 6
y0 = &x0

;following instructions’ function is:*y = 11
y1 = y0    
*y1 = 11

;following instructions’ function is:*y = *y+1
y2 = y0
y3 = *y2
y4 = y3 +1
y5 = y0
*y5 = y4

x1 = *(&x0)
return x1;

可以很容易地看出，以上形式并非SSA（%2使用大于两次，即使内存地址的内容改变）。但是我注意到不论变量是否被取过地址，好像LLVM对变量的使用均会创建一个局部标识符（即不论变量是否被赋值，均使用新的变量下标）。于是我进行了进一步的验证。

我编写了一个只含top-level变量的C程序，代码见/src/test2.c 部分代码为：

int f(int a,int b){
double c = 5.5;

if(a>b) c = a;
else c = b;
//…

对应的ll文件见dist/test2-O0.ll，部分内容为：

define dso_local i32 @f(i32 %0, i32 %1) #0 {
    %3 = alloca i32, align 4
    %4 = alloca i32, align 4
    %5 = alloca double, align 8
    %6 = alloca i32, align 4
    store i32 %0, i32* %3, align 4
    store i32 %1, i32* %4, align 4
    store double 5.500000e+00, double* %5, align 8
    %7 = load i32, i32* %3, align 4
    %8 = load i32, i32* %4, align 4
    %9 = icmp sgt i32 %7, %8
    br i1 %9, label %10, label %13

可以看到，在判断a是否大于b的语句中，即使a、b变量在使用前都没有被修改过值，Clang编译后依然使用了不必要的新的局部标识符（%7、%8）。因此可以断定，使用O0级编译生成的LLVM的中间形式不是简化的SSA形式。

后来我继续了解发现，这是LLVM所特有的特性，这样做主要是为了将前端Clang分离。LLVM官方文档对此也有说明：

LLVM does require all register values to be in SSA form, it does not require (or permit) memory objects to be in SSA form.

如果是因为O0级别的编译不作任何优化才导致的非简化SSA形式，那么尝试O1级别的编译会怎么样呢，编译test2.c产生的文件在/dist/test2-01.ll，可以看到其形式非常简洁，但一定是SSA形式。

因此得到一个结论，LLVM-IR不一定是最简化的SSA表示。

编译LLVM出现错误：

collect2: error: ld terminated with signal 9 [Killed]

我使用的是Ubuntu虚拟机环境，编译出错主要原因是虚拟机虚拟内存不足导致，而虚拟机swap分区不够大，所以需要新建个swap分区，可使用GParted工具，或者参考网上的方法：

cd /
sudo mkdir swapfile
sudo dd if=/dev/zero of=swap bs=1024 count=20000000
sudo mkswap -f  swap
sudo swapon swap

同时，编译整个LLVM时默认是debug模式的，这会非常耗时，如果只编译其中Clang工具的release版会节省很多时间，具体命令为：

cmake -DCMAKE_BUILD_TYPE=Release -DLLVM_ENABLE_PROJECTS=clang -G "Unix Makefiles" ../llvm