sa-babi
最近系统级程序设计要用到CMU的一篇论文,主要是生成漏洞样本然后训练memory network以后对开源软件代码进行分析,查看时候会有相似的漏洞。
在sa-babi的代码生成中有四个文件,generate.py, sa_tag.py, score_tool_outputs.py, templates.py.
-
generate.py
generate.py 是生成的主要生成文件,文件的生成过程:
1.设定body主体的生成器,主要是产生一个函数的主体部分以及每条语句对应的Tag.
2.生成器函数会调用 _get_anon_vars(),获得变量名称,subtitutions 是之后会被替换的文本,pt_var是我自己定义的指针 变量,buf_var是数组变量,idx_var是数组里面的索引变量,max_var是(int)变量的最大值,buf_len是数组变量的长度
3.生成器函数最后会调用_assemble_general_example,dec_init_pairs是自定义的语句块,是一个tuple组成的列表,在templates.py里面对应的变量名是xxxx_xxxx_PAIRS. main_lines是函数体的主体部分,是一个字符串组成的列表,在templates.py里面对应的函数名是xxxx_xxxx_LINES. dummy_var是与错误无关的变量,感觉主要就是让生成的函数体复杂一点,,既有正常的变量,也有不正常的变量。不然全部都是有问题的变量也不行啊。
4._assemle_general_example 里面调用的_get_lines会调用get_setup_lines方法,get_setup_lines方法会利用dec_init_pairs,将其转换成对应的变量声明和赋值语句。get_setup_lines方法返回的就是一个字符串的列表啦。
5.get_lines方法调用get_setup_lines方法后,会将setup_lines和main_lines拼接,组成函数的主体语句。这个时候的body_tags是函数语句对应的标签,主要是TAG.OTHER和TAG.BODY, 因为含有漏洞的语句还没有被差插入。get_lines之后会调用_insert_dummies方法,这个方法会将一些可能有问题的语句插入到main_llines中,插入的同时,会判断是否有问题,比如,缓冲区溢出的标定是判断下标是否越界,如果越界,则对应的TAG会是xxxx_xxxx_UNSAFE; 否则则是xxxx_xxxx_SAFE. 当然,插入的时候如果实在控制语句,比如if语句中,则TAG会编程xxxx_COND_xxxx, 意思是可能有错误,也可能没有错误。最后,所有的标签会加入到body_tags。
6._insert_dummies会多次调用_insert_referential_dummy,_insert_referential_dummy会执行相应的插入语句的操作,具体就是mainlines会被拆成几个list, 将需要插入的语句和这几个list组合起来就是最后新的mainlines. 这个部分代码有点多,可以自己去看。
7.最后还会对生成器函数进行assert操作,判断生成的样本是否符合要求。感觉主要就是判断最后的tag是否在as_tag.py里面。我生成代码的时候直接把assert操作给注释掉了。
-
sa_tag.py
这里面主要是一些语句的标注,均是整数值。OTHER针对的是函数的名称和include命令以及首尾的大括号;BODY是正常的语句;其他的就是可能存在错误的地方了。
-
score_tool_outputs.py
这个函数的功能还不清楚,我用windows生成代码的时候没有用到。
-
templates.py
templates.py里面的模板分为两大类,一个是xxxx_xxxx_PAIRS, 这个是在get_lines里面进行转换的部分,主要是变量的定义与赋值操作;另一个是xxxx_xxxx_LINES, 这个是一些控制语句,但是没有具体的操作,要等到insert_dummy以后将错误代码插入其中。
在windows平台上调用generate.py的时候,有几个参数需要指定。一个是path,这是必须的,对应的是生成的文件的目录;还有一些非必要的参数,比如num_instances,这是样本的数量。
这是我用pycharm配置的参数,命令行里面基本也是这样操作。
命令行操作的话就是python generate.py "path" -num_instances num.
1272
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
