基于符號(hào)執(zhí)行的漏洞挖掘系統(tǒng)的研究與設(shè)計(jì).pdf

1、近年來(lái)，軟件漏洞都是各種網(wǎng)絡(luò)攻擊的主要根源，它不僅是病毒、蠕蟲(chóng)等的重要傳播途徑，也是網(wǎng)絡(luò)攻防的攻擊焦點(diǎn)，絕大多數(shù)的網(wǎng)絡(luò)入侵都是基于軟件的漏洞進(jìn)行的。攻擊者可以利用這些漏洞訪問(wèn)到未授權(quán)的系統(tǒng)資源，進(jìn)而可以破壞系統(tǒng)中重要的數(shù)據(jù)信息，從而對(duì)信息系統(tǒng)安全造成了極大地威脅，因而信息安全領(lǐng)域的核心問(wèn)題之一就是計(jì)算機(jī)系統(tǒng)中存在的各種軟件漏洞。
　　 軟件漏洞挖掘的主要方法是通過(guò)精心構(gòu)造測(cè)試數(shù)據(jù)輸入程序來(lái)觸發(fā)漏洞，由此可見(jiàn)如何生成測(cè)試數(shù)據(jù)是該技

2、術(shù)的關(guān)鍵，也是成功挖掘漏洞的關(guān)鍵。本文立足于二進(jìn)制代碼的漏洞挖掘技術(shù)研究，將應(yīng)用在源碼檢測(cè)的符號(hào)執(zhí)行技術(shù)應(yīng)用到二進(jìn)制代碼中，并將其與Fuzzing方法結(jié)合來(lái)進(jìn)行針對(duì)于二進(jìn)制代碼的漏洞挖掘技術(shù)的研究。
　　 本文在分析漏洞存在原理和觸發(fā)條件的基礎(chǔ)上，研究并設(shè)計(jì)了一個(gè)更為高效的漏洞挖掘的系統(tǒng)。該系統(tǒng)所采用的方法是通過(guò)不安全函數(shù)來(lái)定位漏洞的觸發(fā)點(diǎn)，深度與寬度混合遍歷來(lái)確定觸發(fā)的路徑，利用符號(hào)執(zhí)行技術(shù)來(lái)確立漏洞觸發(fā)的條件，最后再根據(jù)條件