T-fuzz--fuzzing by program transformation论文概要

最新推荐文章于 2022-11-09 01:55:32 发布
最新推荐文章于 2022-11-09 01:55:32 发布
阅读量2.3k 收藏 4
点赞数 3
分类专栏: 二进制安全 文章标签: fuzz 符号执行 模糊测试

摘要

fuzz的问题,有限覆盖率和深度bug挖掘。

为了提高覆盖率,常用的方法是依靠不精确的启发式算法或者复杂的输入变异等技术。
T-fuzz通过去掉santiy check来提高覆盖率。T-fuzz利用覆盖率来引导产生输入。
当不能访问到新的路径时,T-fuzz会去掉check,以保证fuzz能继续进行,发现新的路径和bug。
这个方法有2个问题:1.去除check,导致结果不准确并会产生误报;2. 即使是真的bug,那么这个crash的input也有可能在原始的程序中执行不会引发bug。作为辅助的后处理步骤,一个符号执行器将过滤这些误报、复现真的bug。

最后,实验比较了t-fuzz和其他fuzz工具,结果更好。

1. Introduction 介绍

fuzz大致可以分为2类:generational fuzzers 和 mutational fuzzer。前者代表PROTOS,SPIKE和PEACH,依赖于特定格式的定义来产生输入;后者的代表AFL、honggfuzz和zzuf,通过随机变异来产生输入。本文采用方法为后者。

无论什么策略的变异方式,都很难产生满足复杂santiy check的输入。想afl采用覆盖率引导、driller等采用符号执行或者污点分析,面临santiy check问题时,作用还是有限的。

本文采用了一个新颖的fuzz技术–transformational fuzzing,通过直接跳过santiy check来提高fuzz找到bug的能力。

当剔除santiy check后,会产生误报等情况。t-fuzz还有一个后端工具,采用符号执行去复现先前产生的bug。虽然符号执行很复杂而且代价很大,但是由于只需要去验证潜在bug的情况,所以不会对性能有很大影响。

为了证明t-fuzz的有效性,我们开发了一个t-fuzz的原型。t-fuzz在现成的覆盖率引导的fuzz的基础上进行开发。当fuzzer不能产生能发现新路径的输入时,一个轻量的动态的基于trace的工具会探索那些导致所有input fail的check。然后会根据这些check选择性的修改程序,使得fuzzer能在修改后的程序上继续运行。

本文工作的贡献

  1. 证明了通过转化目标应用程序相比于应用更复杂更重量的分析工具和技术能够更高效的找到bug。
  2. 实现了一系列编译输入和程序的技术,包括:(1).在目标程序中自动探测santiy check方法;(2). 目标程序转化取出santiy check的方法;(3). 在原始程序中复现bug并过滤误报的方法。
  3. 在CGC/LAVA-M数据库和4个真实的程序中测试评估了t-fuzz,并与现有的技术进行比较。
  4. 发现了3个现实程序bug。

2. Motivation 动机

举了一个例子,包含3个check,第一是字符串比较(C1),第二是带循环的数值比较(C2),第三是crc比较(C3),afl对这种check比较难处理,如果使用driller可以轻松应对check 1和2,但是对于3还是很难的,因为现在的约束求解器比较难处理复杂算法的约束。
对santiy check进行了一些探讨和研究:
1). santiy check 可以分为2类:NCC(Non-Critical Check) 和 CC (Critical Check)。NCC是那些用来过滤数据的check,CC是严重影响程序功能和逻辑的check。
2). NCC可以在不产生假性bug的情况下去掉;
3). 去掉NCC后产生的bug能在原始程序中复现
4). 去掉CC,可能引入假性bug。假性bug不能复现。
基于NCC在现实的程序中无处不在,在设计t-fuzz时,通过探测发现NCC并去掉NCC来提高fuzz的性能。通过去掉NCC,被NCC保护的代码才能暴露给Fuzz,才能更好的发现潜在的bug。
尤其的,t-fuzz能很好的帮助fuzzer去fuzz check 3(C3)保护的代码。

3. T-Fuzz intuition 结构和框架

t-fuzz 结构
T-Fuzz的结构如上图所示,包含以下这些组件,将会在后续章节详细讨论:

  • Fuzzer: 使用AFL或者honggfuzz生成输入文件。T-fuzz依赖fuzzer工具来跟踪路径和判断是否stuck。
  • program Transformer: 当程序stuck时,t-fuzz采用program transfromer来生成修改的程序。使用fuzzer产生的输入文件,Program transformer trace这个程序,以发现NCC,然后复制一个去处NCC条件的程序。
  • Crash Analyzer: 如果在转化后的程序中发现了一个crash,Crash analyzer会通过符号执行技术过滤掉误报的错误。

T-fuzz的基本算法和流程如下图所示伪代码,t-fuzz迭代发现和关闭程序中遇到的NCC。迭代时,将原始program和所有转化产生的program保存到一个队列中。每次迭代时,从队列中取出一个program,加载到fuzzer中进行fuzz,直到它不能再提高覆盖率(stuck)。此时,T-fuzz会使用探测器去发现NCC,然后使用program transformer产生多个program,并添加到队列中。所有在迭代中发现的crash会在crash analyzer中去识别并剔除误报的bug。
算法1

4. T-Fuzz design 设计细节

未完待续。。。

Chen_zju
关注
专栏目录
V-Fuzz: Vulnerability-Oriented Evolutionary Fuzzing论文分析
abcdyzhang的博客
04-21 2763
V-Fuzz: Vulnerability-Oriented Evolutionary Fuzzing论文分析 针对二进制程序,也可以用于开源软件(需要将其编译成二进制程序) 类似于定向fuzz–不是定向fuzz,而是找到目标辅助种子选择 V-Fuzz结合了漏洞预测和进化fuzz的优势,同时减小了劣势(由于漏洞预测模型不是精确的,所以对脆弱代码使用大权重,对其他代码使用较小的权重,以防止模型出现...
FuzzingPaper:最近的Fuzzing论文
02-06
FuzzingPaper:最近的Fuzzing论文
Fuzzing论文_CONCURR COMP-PRACT E2020_Fw-fuzz
学术渣渣的博客
05-10 801
Fuzzing论文_Fw-fuzz 论文题目 Fw-fuzz: A code coverage-guided fuzzing framework for network protocols on firmware 工具名称 Fw-fuzz 论文来源 CONCURRENCY AND COMPUTATION-PRACTICE & EXPERIENCE 2020 一作 Zicong Gao(Cyberspace Security Department, State Key Labo
Fuzzing论文_IEEE Access2019_SPFuzz
学术渣渣的博客
05-12 753
SPFuzz: A Hierarchical Scheduling Framework for Stateful Network Protocol Fuzzing论文概要背景及相关工作挑战模型框架描述文档分层变异策略模型实现实验 论文题目 SPFuzz: A Hierarchical Scheduling Framework for Stateful Network Protocol Fuzzing 工具名称 SPFuzz 论文来源 IEEE Access 2019 一作 Congx
Fuzzing相关论文阅读笔记(一)
Zhangyannn的博客
01-07 3134
近期相关论文阅读的笔记记录
oss-fuzz:OSS-Fuzz-开源软件的连续模糊测试
02-05
OSS-Fuzz:开源软件的连续模糊测试 是一种用于发现软件编程错误的众所周知的技术。 其中许多可检测到的错误(例如)可能会带来严重的安全隐患。 通过部署 Google已经发现了的安全漏洞和稳定性错误,我们现在希望与...
cargo-fuzz:用于模糊测试的命令行助手
02-05
cargo-fuzz 是 Rust 生态系统中的一个非常有用的工具,它是一个命令行助手,专门用于进行模糊测试fuzzing)。模糊测试是一种自动化测试方法,通过大量随机输入来寻找软件中的漏洞和不稳定点。在 Rust 语言中,由于...
待打印 - 污点分析 SP18_T-Fuzz1
08-03
【污点分析 SP18_T-Fuzz1】:这篇文档主要介绍了T-Fuzz,一种通过程序变换进行模糊测试fuzzing)的技术,由Hui Peng、Yan Shoshitaishvili和Mathias Payer共同提出。模糊测试是一种利用随机生成的输入来发现软件...
afl252b_qemu2100_kali20082-patches:在Kali(2018.2)上构建afl-fuzz(-Q模式)
05-16
在Kali(2018.2)上构建afl-fuzz(-Q模式) 版本: kali-linux-2018.2-amd64 afl-2.52b 没有补丁会抛出这样的错误: static int memfd_create(const char *name, unsigned int flags) ^~~~~~~~~~~~ In file ...
POC-T:渗透测试插件化并发框架
04-06
POC-T:并发渗透测试工具包 脚本调用框架,用于渗透测试中采集|爬虫|爆破|批量PoC等需要并发的任务。 脚本收录 欢迎提交PoC及实用脚本(提PR或邮件联系 ),您贡献的PoC相关信息将会在以下位置公开。 特色 支持多线程/ Gevent两种并发模式 极简式脚本编写,无需参考文档 内置脚本扩展及常用PoC函数 支持第三方搜索引擎API(已完成ZoomEye / Shodan / Google / Fofa免费版) 依赖 Python 2.7 点子 用户手册 其他 联系作者 邮件:
论文阅读NO.00001】Fuzzing: A Survey for Roadmap
arttnba3的博客
11-09 1131
Fuzzing: A Survey for Roadmap》是关于模糊测试领域的比较好的一篇综述,而恰巧笔者想要开始接触一些学术上的东西,所以决定从这篇综述性论文开始入手去了解模糊测试这一领域:)
Fuzzing相关论文笔记
weixin_43795966的博客
06-22 325
浏览器FuzzingJS相关知识CodeAlchemistProblemRelated workLangFuzzjsfunfuzzSkyfire/TreeFuzzObservationSolution JS相关知识 JS程序可以在运行时动态修改类型系统,并动态生成代码。 JS是一种面向原型的语言,这意味着只需将对象实例B设置为对象实例A的原型,A可以在运行时继承B的属性。 JS runtime errors SyntaxError:由于js是动态的,看起来语法正确的代码也可能触发syntaxerror。比如
[fuzz论文阅读] Sharing More and Checking Less: satc
huzai9527的博客
01-27 1452
Sharing More and Checking Less: satc 背景 嵌入式系统的漏洞驻留在其开放的web服务中 现有的web漏洞检测,不适用于此类web服务(开销、假阴假阳) 本文利用前后端共享的关键字定位参考点 从嵌入式系统中寻找bug的关键点在于从前端web中寻找处理用户数据的后端代码,那些输入会被后端处理 satc工作流程 解压固件包,识别前后端文件 从前端文件中提取关键字 在后端文件中定位关键字处理函数,找出与用户输入相关的点 进行污点分析 satc解决的问题 从前端中提取
fairfuzz 论文概要
Chen_zju的博客
11-23 2023
论文英文标题为:FairFuzz: A Targeted Mutation Strategy for Increasing Greybox Fuzz Testing Coverage 在看论文时,简单每个记录了一些重要的点,方便阅读和回顾。如果需要详细了解论文内容,可看论文原文。 摘要 AFL的局限,覆盖率低。而覆盖率低,会导致有些没有被覆盖代码的bug不会被发现。 本文提出2个方法来提高覆盖率。...
[autoharness] fuzzbuilder论文阅读
huzai9527的博客
03-15 433
fuzzbuild 概述 本篇论文主要介绍了如何从单元测试自动化构建fuzz。要点在于对单元测试的llvm中间表示进行插桩,通过FuzzAPI中的函数手册,将单元测试的输入修改为fuzz 传入的参数,包括data和size。在此之前通过在lib中插入相关的指令,收集单元测试使用的seed,这样就获得了fuzz和seed. 本篇论文主要利用了单元测测试已经搭建好的环境,修改了两个变量的地址给fuzz 前提条件 一个单元测试的LLVM IR表示 Fuzzable API(lib、fun、pars)(接受输
Fuzz进行到底
weixin_33748818的博客
06-04 305
Fuzz Testing模糊测试)是一种简单有效的黑盒测试技术,本文将在传统的Fuzz基础之上向你介绍一种结构化Fuzz思想, 并提出结构化Fuzz三步走方案将尝试把Fuzz做到极致。 希望本文可以使你重新看待Fuzz技术,并在实际测试项目中找到Fuzz的乐趣 。 传统Fuzz简介 简而言之,Fuzz就是: 用随机坏数据***一个程序,然后等着观察哪里...
[fuzz论文阅读] Symbolic execution for software testing: three decades later
huzai9527的博客
01-27 1206
Symbolic execution for software testing: three decades later 背景介绍 技术难点 路径探索 约束求解 内存建模 关键目标 生成一组具体的测试用例,执行该路径 检查是否存在各种错误,包括内存断言冲突、未捕获的异常、安全漏洞和内存损坏 符号执行的优点 比传统的动态执行技术更强大,不仅能够发现一般性的错误,还能够对复杂程序进行推理 从测试生成来说,能够生成高覆盖率的测试用例 从BUG寻找来说,能够提供具体的测试用例,方便确认和调试错误 符号执
oss-fuzz添加项目
最新发布
09-05
要在OSS-Fuzz中添加一个项目,需要按照以下步骤进行操作: 1. 创建一个新的Github存储库,并将其设置为公共访问权限。在存储库中包含项目的源代码以及构建和测试脚本。 2. 在Google云平台上创建一个项目。确保该项目已启用OSS-Fuzz API,并将其链接到之前创建的Github存储库。 3. 在本地克隆OSS-Fuzz存储库,并添加您的新项目。 4. 创建一个名为"project.yaml"的文件,并在其中描述您的项目。包括项目名称、GitHub存储库的URL以及其他相关信息。 5. 提交并推送您的更改到您的Fork OSS-Fuzz存储库,并创建一个Pull Request。 6. 在OSS-Fuzz仓库中的Pull Request页面,将您的请求与OSS-Fuzz团队进行讨论,并进行其他必要的更改和修复。 7. OSS-Fuzz团队将审查并测试您的项目,并对其进行进一步处理,以确保其适合使用OSS-Fuzz进行模糊测试。 8. 一旦您的项目被接受,OSS-Fuzz将使用Google云构建和运行系统来自动化为您的项目执行模糊测试。 9. 通过监视OSS-Fuzz仪表板和错误报告,您可以查看和跟踪您的项目的模糊测试结果。 10. 如果发现漏洞或问题,可以及时回馈给OSS-Fuzz团队,以便他们可以帮助修复和改进您的项目。 通过这些步骤,您就可以将项目成功添加到OSS-Fuzz中,并利用它进行强大的模糊测试
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值