基于符号执行的二进制代码漏洞发现
牛伟纳
;
丁雪峰
;
刘智
;
张小松
【期刊名称】
《计算机科学》
【年
(
卷
),
期】
2013(040)010
【摘要】
软件漏洞是安全问题的根源之一
,fuzzing(
模糊测试
)
是目前漏洞发现的
关键技术
,
但是它通过随机改变输入无法有效地构造出测试用例
,
也无法消除测试
用例的冗余性
.
为了克服传统
fuzzing
测试的缺点、有效生成测试输入且无需分
析输入格式
,
针对二进制程序设计并实现了基于符号执行的漏洞发现系统
SEVE.
将程序的输入符号化
,
利用动态插桩工具建立符号变量的传播关系
;
在分支语句处
收集路径约束条件
,
最后用解析器求解之并将其作为新的测试用例
.
用
mp3
和
软件进行了实验
,
结果表明
,
该系统有效地提高了漏洞发现的效率与自动化程
度
.
【总页数】
4
页
(119-121,138)
【关键词】
漏洞
;
二进制程序
;
符号执行
;
插桩
;
路径约束
【作者】
牛伟纳
;
丁雪峰
;
刘智
;
张小松
【作者单位】
电子科技大学计算机科学与工程学院
成都
611731;
四川大学信息
管理中心
成都
610065;
电子科技大学计算机科学与工程学院
成都
611731;
电
子科技大学计算机科学与工程学院
成都
611731
【正文语种】
中文
【中图分类】
TP311
【相关文献】
1.
基于二进制代码分析的缓冲区溢出漏洞挖掘模型
[J],
贾红星
;
刘凡