符号执行，从漏洞扫描到自动化生成测试用例

###背景

ThoughtWorks安全团队曾经在可信Frimware领域做了一些探索和研究。背景大概是这样的：整车制造过程中，常常会引入供应商的部分设备，如车载娱乐系统，但是出于知识产权的原因，这些供应商很难提供完整的源码给整车制造方，因此二进制的固件就成了整车制造环节中的安全隐患，各种漏洞都可能被供应商的零部件引入，存在于车载系统之中，随时可能被攻击者利用而影响整车的安全性。

为了探测二进制程序中的漏洞，经过一段时间的探索和研究后，把核心技术锁定到了符号执行，利用该技术帮客户搭建了一套自动化的二进制漏洞扫描平台。并且，在后来不断的研究中，我们发现，符号执行也可以用来自动化生成测试用例，为我们更加全面的编写测试用例, 带来新的思路。

###什么是符号执行

Wikipedia上对符号执行的解释：是一种程序分析技术，其可以通过分析程序来得到让特定代码区域执行的输入。使用符号执行分析一个程序时，该程序会使用符号值作为输入，而非一般执行程序时使用的具体值。在达到目标代码时，分析器可以得到相应的路径约束，然后通过约束求解器来得到可以触发目标代码的具体值。

讲的比较绕，举个通俗的例子来说明：假设程序现在是一个王者荣耀中的英雄，这个英雄经过一定的出装就会有一定的战力(攻速，物理伤害，防御等)，符号执行的技术就是，给出了一个英雄的战力，可以反推出什么样的出装可以达到这样的战力。

再举个实际的代码例子来说明符号执行:

void foo(int x, int y)
{
    int t = 0;
    if( x > y ){
        t = x;
    }else{
        t = y;
    }
    if (t < x ){
        assert false;
    }
}

假设当t<x时，是我们程序的漏洞，我们要使用符号执行判断是否有达到t<x这个分支的可能。符号执行的方法就是在给定的时间内，生成一组输入，以尽可能多的探索所有的执行路径，在分析时，该程序会使用符号值作为输入，而非具体的值，去探索每一条分支。比如该程序在符号执行完后，会生成如下类似的方程组：

(x>y) => t=x
(x<=y) => t=y

接下来，符号执行会通过约束求解，去分析上述的每条路径，通过约束求解分析得，如上的两条路径在任何情况下都不可能达到t<x这个分支。约束求解可以简单的理解为解方程，有很多开源的约束求解器&