《KLEE:Unassisted and Automatic Generation of High-Coverage Tests for Complex Systems Programs 》

最新推荐文章于 2024-04-07 11:39:48 发布
最新推荐文章于 2024-04-07 11:39:48 发布
阅读量1.5k 收藏 3
点赞数 2
分类专栏: 论文笔记 文章标签: 程序分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cutedog2012/article/details/79537942
版权

题目:KLEE:Unassisted and Automatic Generation of High-Coverage Tests for Complex Systems Programs
作者:Cristian Cadar, Daniel Dunbar, Dawson Engler
单位:Stanford University
问题:许多类型的错误在不执行一部分代码的情况下是很难发现的,依赖于随机或人工方法设计测试集难度大且效果不好。
方案:设计工具KLEE利用符号执行技术动态生成测试用例,可以达到高覆盖率而且可以采集代码执行过程中的状态信息用于分析,适用于多种复杂的对环境敏感的程序。
原理
1.路径约束条件(path condition):为每一条路径维护一个约束集。
当路径结束(exit调用)或KLEE检查出错误时,对当前路径约束条件集进行求解得到符合该条路径的输入数据,该输入用例在未经修改的测试程序上运行可以重走与KLEE走的相同的路径并触发bug。在KLEE外重跑测试可以降低误报率。
2.路径选择算法:
(1)随机路径选择:维护一个二进制树,为所有活跃的状态记录程序路径。从root遍历该树并在每个分支点随机地选择路径。
(2)覆盖率优化搜索:尽量选择能够覆盖新代码的状态。利用启发式方法计算每个状态的权重,然后根据权重随机选择一个状态。目前,这些启发式算法会考虑到达一个未被覆盖的指令的最短距离、状态的调用栈以及该状态近期是否覆盖了新代码。
3.状态(state):为了避免与UNIX进程相混淆,将KLEE的符号化过程用“状态”代表。如果检测到错误就产生一个测试用例去触发错误并该结束状态。
4.为每个符号化过程维护这些信息:register file,stack,heap,program counter,path condition
5.在赋值语句时比如%dst = add i32 %src0,%src1,就会创建表达式Add(%src0,%src1)并赋给%dst寄存器。
创建表达式的代码要查看是否所有给定的操作数都是具体的,如果是,就返回一个具体值的表达式。
6.查询优化:在到达STP前简化表达式并减少查询。简化表达式可以加快求解、减小内存开销并提高查询缓存的命中率。
查询优化的主要方法:1.表达式重写 2.约束集简化 3.隐含的值具体化 4.约束独立 5.反例缓存
7.(1)当一个约束集的子集无解时,该约束集也无解。
(2)当一个超集有解时,其原始约束集也有解。
(3)当一个约束子集有解时,它的原始集有可能有解。
8.当代码从环境读取数据时,想要返回所有可能的合法数据值,而不是单一的具体值。当代码向环境中写入时,这一改变要在之后的读取中反映出来。
实现
1.KLEE是在EXE系统上重新设计的,不需要对源码修改或者人工工作。利用常见的LLVM GNU C编译器将代码编译成字节码。在KLEE上运行字节码。
2.利用约束求解器STP求解路径约束条件。
3.为了提高效率,如果一个表达式的所有给定的操作数都是具体值,则直接按具体值处理返回一个常数表达式。
4.当遇到条件分支时,KLEE要查询约束求解器判断两个分支的可行性,如果两个都可以走,KLEE要把路径状态克隆一份,这样两台路径都保存着各自的路径状态。
5.每个危险操作的地方,检查当前路径约束条件允许的每个可能值是否会引起错误。
6.程序被LLVM编译为类似于精简指令集的形式,KLEE直接翻译这些指令并将其映射成约束条件。
7.大多数的表示被检测代码的内存使用用一个平字节数组(flat byte array)去表示。但STP约束求解器不能支持合成的约束的求解。
解决:像EXE中的方法一样,将每个内存目标映射到不同的STP数组。
8.当一个被间接引用的指针p可以指向N个目标,KLEE将当前状态克隆N次。
9.粗略地为40个系统调用定义了简单的模型。符号化的文件系统与实际的文件系统共存,所以应用程序既可以使用符号化的也可以使用具体的文件。
10.设计了系统调用失败的模式选项,模拟环境中失败的情况。例:使用write()函数时磁盘已满。
11.KLEE产生的测试用例集通过我们提供的replay driver重新在没有进行过修改的原始的二进制上运行。
评估
1.简化求解使运行时间减少了45%。利用独立性进行的简化使反例缓存的命中率大大提升。
2.覆盖率:使用行覆盖率作为KLEE产生测试集有效性的一个保守的度量。覆盖结果仅考虑工具中代码本身,不包括库文件代码。
3.定义大小度量ELOC(executable lines of code):计算全局优化后可执行行数的总数
4.产生测试集的能力:
(1)给定GNU COREUTILS全部89个实用程序,KLEE的测试集在每个工具中的覆盖率高达90.9%,总体覆盖率为84.5%。且以较少的测试用例产生高覆盖率。KLEE达到76.9%的分支覆盖率,而开发者本身的测试集只有56.5%的覆盖率。发现了COREUTILS中10个不同的bug。
(2)使用传统的方法,true分支和false分支都覆盖的话需要从程序开始到结尾跑两次,而KLEE中,分支之前的路径上的指令只需要跑一次即可。
(3)测试BUSYBOX的coreutils子目录下的75个实用程序,平均行覆盖率达90.5%以上,开发者的只有44.8%。
5.检查bug的能力:测试了BUSYBOX的全部279个工具和MINIX的84个工具,发现了BUSYBOX的21个bug,MINIX的21个bug。所有的bug都是内存错误。
8.检查工具等价的能力:给两个工具同样的符号化输入,断言它们返回相同的结果。但是这种等价仅局限于KLEE产生的路径的有限集。
贡献
1.传统的符号化执行系统不会运行环境进行任何交流,没办法应对需要利用环境或需要完整的工作模型的程序,而KLEE允许与外界环境交互且提供一个符号化的模拟交互的模型。
2.KLEE可以通过交叉检查对同一库函数的不同实现的方式判断正确性。

孟婆来碗汤泡饭
关注
专栏目录
Use KLEE to Test GNU Coreutils
zehuac的博客
07-10 1229
这篇博客讲一下我在做KLEE: Unassisted and Automatic Generation of High-CoverageTests for Complex Systems Programs(OSDI 2008)Coreutils实验时遇到的问题实验是按照官方教程做的Step 1:Build coreutils with gcov这个其实跟KLEE没有多大关系,按着说的来就行了Step
KLEE - Unassisted and Automatic Generation of High-Coverage Tests for Complex Systems Programs (klee-osdi-2008)-计算机科学
04-22
KLEE: Unassisted and Automatic Generation of High-Coverage Tests for Complex Systems ProgramsCristian Cadar, Daniel Dunbar, Dawson Engler∗Stanford UniversityAbstractWe present a new symbolic execution tool,KLEE, ca- pable of automatically generating tests that achieve high coverage on a diverse set of complex and environmentally-intensive programs. We usedKLEE to thoroughly check all 89 stand-alone programs in the GNU COREUTILS utility suite, which form the core user-level environment installed
KLEE学习——实例1
qq_26736193的博客
07-06 2391
下面开始根据KLEE官方给出的示例进行学习,闲话不多说,开始第一个示例的学习:Testing a small function 这个例子是引导我们熟悉使用klee测试简单函数所需的主要步骤,代码在/examples/get_sign目录下. 简单函数的代码如下,判断x的是0、正数、还是负数。 int get_sign(int x) { if (x == 0) return 0; if (x < 0) return -1; else return 1;} 主要分
KLEE软件分析
happygogf的专栏
01-27 1万+
KLEE软件分析 1 klee概述 1.1 符号执行概述 符号执行技术使用符号值代替数字值执行程序,得到的变量的值是由输入变 量的符号值和常量组成的表达式。符号执行技术首先由King在1976年提出 ,经过三十多年的发展,现在仍然被广泛研究,它在软件测试和程序验证中发挥着重 要作用。符号执行是一种重要的形式化方法和静态分析技术,它使用数学和逻辑 首先定义一些基本概念。程序
KLEE学习笔记】Docker安装KLEE+ KLEE的简单使用+KLEE的约束文件
最新发布
Young12138的博客
04-07 1448
klee安装以及简单使用步骤
符号执行入门
热门推荐
omnispace的博客
05-09 2万+
0x00 前言此前阅读了AEG相关的一些文章,发现符号执行可以说是基石,如果不能充分理解符号执行就很难真正深入AEG的研究。于是我找了一些符号执行领域的经典论文,预计会做一系列的总结,主要包括以下几个内容:(1)符号执行的基本概念;(2)符号执行的分类与发展;(3)符号执行面临的挑战和解决方案。本文主要介绍关于符号执行的基本概念。对于符号执行入门,有两篇文章可以参考。其一是2010年David B...
klee:KLEE符号执行引擎
04-28
KLEE符号虚拟机 KLEE是建立在LLVM编译器基础结构之上的符号虚拟机。 当前,有两个主要组件: 核心符号虚拟机引擎; 这负责执行支持符号值的LLVM位代码模块。 这由lib /中的代码组成。 面向支持uClibc的POSIX / ...
docker-klee:KLEE 的 Docker 镜像
05-30
您可以使用clang -emit-llvm构建测试文件,然后使用 KLEE 命令klee进行测试: klee 、 ktest-tool等。 cd your/workspace docker run --rm -tiv `pwd`:/work mbrt/klee 执照 麻省理工学院请参阅文件。
klee-cl-docker:KLEE-CL 的 Dockefile
06-22
KLEE-CL 的 Dockerfile 此存储库包含DockerFile和其他相关文件,用于为构建 Docker 容器。 跑步 首先从DockerHub获取镜像。 如果您不想这样做,请参阅“构建” $ docker pull delcypher/klee-cl-docker 现在您...
Klee-Docker:Klee Dockerfile 开发
06-14
$sudo docker pull szymoniks/klee-docker 建造 要安装 docker,请按照的指南进行操作。 安装并克隆我们的项目后,您只需从项目根目录执行以下命令即可构建 Klee: $sudo docker build -t [image_name] . 其中 ...
读论文 Automatic generation and detection of highly reliable fiducial markersnunder occlusion
power的专栏
09-20 602
论文讲述了marker生成,检测,姿态评估的算法. 使用markers board,可以提高健壮性,以及遮挡情况下的姿态估算. 使用HSV颜色分割,marker使用蓝绿色,效果也不错. 1.提取轮廓, 最初使用canny算法,太慢而放弃;使用OTSU阈值分割,局部自适应阈值分割. 2.轮廓过滤,使用多边形近似算法,去除不是4边的轮廓. 3.marker id识别,使用单应矩阵映射,从候选...
KLEE学习笔记
^_^
11-07 3624
文章目录Tutorial OneTutorial TwoTutorial Three-sym-arg Usage-sym-files UsageTutorial FourBuild coreutils with gcovInstall WLLVMBuild Coreutils with LLVMUsing KLEE as an interpreterIntroducing symbolic data to an applicationVisualizing KLEE’s progress with kcac
KLEE--一些工具介绍(klee-stats)
fjnuzs的博客
04-09 1355
klee-stats  klee-stats是一个Python脚本,用于从KLEE执行过程运行中形成的文件run.stats中抽取一些统计信息,并且用表格来表示。运行中的统计信息包括:  1.1 执行的指令数:The number of executed instructions  1.2 LLVM位代码上指令的覆盖率:Instruction coverage in the LLVM bitc...
KLEE应用实例3
fjnuzs的博客
04-09 1906
该实例是用KLEE测试Gun CoreUtils,之前一直有问题,这段时间想在grep的编译生成上,忘记改什么了,反正可以用了。该实例的应用假定你已经在编译KLEE时正确引用了uclibc和posix运行支持。实际上我也不知道当时怎么搞得。步骤1:利用gcov构造CoreUtils首先下载 coreutils,本例用的是版本6.11。gcov(GCC Coveage)是一个测试代码覆盖率的工具...
KLEE入门
vincent_nkcs的博客
12-23 1万+
简介 最近在使用KLEE工具进行软件缺陷检测时发现网上对于KLEE的介绍和使用的帖子很少,因此写此帖对KLEE的安装和使用方法做简单介绍,具体使用方法可以浏览官网http://klee.github.io/ 阅读本文你可以了解到: 什么是KLEE 如何安装KLEE 如何使用KLEE 什么是KLEE KLEE是一款开源的自动软件测试工具,基于LLVM编译底层基础,能够自动生成测试样...
KLEE学习——实例3
qq_26736193的博客
07-06 1774
说明: 这个例子展示了如何使用KLEE来寻找迷宫游戏的所有解决方案,是对如何使用符号执行来生成输入的一个很好的说明。示例官网原文见:Solving a maze with KLEE -实例中的迷宫大小为11X7,玩家通过’w’,‘s’,‘d’,'f’操作上下左右,从X出发,要找到路径达到出口#。如图所示: 源代码在:https://pastebin.com/6wG5stht 1.首先我们尝试手动寻找答案 假设我们的代码存放在***maze.c***中,我们将其编译: $ gcc maze.c -
简单解决:fatal error: ‘openssl/***.h‘ file not found等综合疑难问题
qq_42400081的博客
11-16 7077
在运行C/C++甚至python的过程中,如果代码中出现了调用openssl头文件的情况,很有可能报错,提示没有openssl这个文件。 查到过很多解决方案,具体原因主要是因为mac上一般使用libssl不使用openssl头文件导致报错。具体解决方案有很多,例如使用brew install openssl指令来进行安装openssl,后根据提示进行link。 然而,由于我手欠,之前在/usr/local/opt/文件中自己放入了下载好的openssl文件导致版本对应不上,link有问题,可以编译,
CLANG技术分享系列一:编写你的第一个CLANG插件
小路恢宏随手记
09-06 5662
转:http://kangwang1988.github.io/blog/ 引子 以前遇到一个需求,检测iOS App代码中使用到的API是否存在开始支持的系统版本高于当前deploy target,或已经在当前支持的最新系统之前(包括当前系统)已经被标记为弃用(deprecated),以免发生Crash或者代码不能被调到的情况。 这个问题可以看成时两个子问题: 1.
实验二:klee处理未建模函数和处理error的方式
weixin_30718391的博客
05-10 435
首先,能够分析klee源码固然重要。但是目前尚未到那个地步。我按照我的过程,记录和分析我所做的实验。 结论性内容是: 1、klee处理printf传入符号值的情形时,报为error,不会将符号值具体化以后再调用printf进行具体执行。 2、klee处理error的时候,如果多条路径覆盖该error,则只报一次该error,并且只生成一个测试用例。 3、klee符号执行时的posix-ru...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值