静态分析缓冲区溢出漏洞和格式化字符串漏洞逻辑备查备忘

于 2019-09-08 15:31:53 发布
阅读量370 收藏
点赞数
分类专栏: 软件安全
原文链接:http://crad.ict.ac.cn/CN/abstract/abstract68.shtml
版权

参考文献:
一种基于代码静态分析的缓冲区溢出检测算法
王雅文1 姚欣洪1 宫云战1 杨朝红2
1(北京邮电大学网络与交换技术国家重点实验室 北京 100876) 2(装甲兵工程学院信息工程系 北京 100072) (wangyawen@bupt.edu.cn)

文章目录

缓冲区溢出部分

需要注意的函数

在这里插入图片描述

初步设想流程

Created with Raphaël 2.2.0 Start 获取当前函数的所有函数调用点 访问每个被调用的函数 获取方法摘要 简单的复制功能? 将间隔与函数约束进行比较,以判断缓冲区溢出与否 End 计算格式字符串的间隔值 yes no

在这里插入图片描述

  1. 用cflow获取函数调用树及其他信息(不使用-b)
  2. 搜索关键函数:如果有,找出调用函数
  3. 搜索参数的声明(参数列表在cflow中获取)
  4. 判断有无可疑:

区间运算相关:

在这里插入图片描述
在这里插入图片描述

函数摘要技术属于为了减少开销的优化方法,在本轻量化应用下暂不考虑.

I-Hsien
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值