10.3969/j.issn.1002-137X.2013.10.024
基于符号执行的二进制代码漏洞发现
软件漏洞是安全问题的根源之一,fuzzing(模糊测试)是目前漏洞发现的关键技术,但是它通过随机改变输入无法有效地构造出测试用例,也无法消除测试用例的冗余性.为了克服传统fuzzing测试的缺点、有效生成测试输入且无需分析输入格式,针对二进制程序设计并实现了基于符号执行的漏洞发现系统SEVE.将程序的输入符号化,利用动态插桩工具建立符号变量的传播关系;在分支语句处收集路径约束条件,最后用解析器求解之并将其作为新的测试用例.用mp3和pdf软件进行了实验,结果表明,该系统有效地提高了漏洞发现的效率与自动化程度.
漏洞、二进制程序、符号执行、插桩、路径约束
40
TP311(计算技术、计算机技术)
四川省科技计划支撑项目2012GZ0001;上海市科研计划项目11511505300
2013-11-08(万方平台首次上网日期,不代表论文的发表时间)
共4页
119-121,138