基于库函数动态跟踪的Fuzzing测试方法被引量：2

Fuzzing Test Approach Based on Dynamic Tracking of Library Functions

下载PDF

导出

摘要在分析库函数安全性的基础上,提出基于库函数动态跟踪的Fuzzing测试方法,通过动态跟踪目标程序对不安全库函数的调用,并在输入数据中搜索匹配函数调用参数,以此来准确定位错误注入点。设计并实现了基于该方法的测试工具,经过对漏洞软件测试的对比实验,验证了该方法的有效性和高效性。 On the basis of the security analysis of library functions,this paper proposes a Fuzzing test approach based on dynamic tracking of library functions.It can dynamic track target program calls to unsafe library functions,and can locate the fault injection point accurately by searching and matching call parameters in the input data.A testing tool which is designed and implemented according to the method is compared with other two tools in a testing experiment on the software with vulnerabilities.The approach is verified to be effective and highly efficient by the experiment.

作者黄奕曾凡平曹青

机构地区中国科学技术大学计算机科学与技术学院安徽省计算与通讯软件重点实验室

出处《计算机工程》 CAS CSCD 北大核心 2010年第16期39-41,共3页 Computer Engineering

关键词漏洞挖掘 FUZZING技术不安全函数动态跟踪 vulnerability exploiting Fuzzing technology unsafe function dynamic tracking

分类号 TP311 [自动化与计算机技术—计算机软件与理论]

引文网络
相关文献

参考文献2

1魏瑜豪,张玉清.基于Fuzzing的MP3播放软件漏洞发掘技术[J].计算机工程,2007,33(24):158-160. 被引量：28
2郑玉彤.库函数调用的安全性分析[J].微计算机应用,2006,27(3):319-322. 被引量：2

二级参考文献9

1罗凌,王成良.缓冲区溢出攻击及防御措施的研究[J].微计算机应用,2005,26(3):276-279. 被引量：2
2Sandeep Bhatkar,Daniel C.DuVarney,R.Sekar.An Approach to Combat Buffer overflows,Format-String Attacks,and more.In 12th USENIX Security Symposium,Washington,DC,August 2003.
3Nathan Tuck,Brad Calder,George Varghese.Hardware and Binary Modification Support for Code Pointer Protection From Buffer Overflow.In Proceedings of the 37th International Symposium on Microarchitecture,December,2004.
4Suan His Yong and Susan Horwitz.Protecting C programs from Attacks via Invalid Pointer Dereferences.In ESEC/FSE03,Septemberl-5,2003,Helsinki,Finland.
5Anonymous.Once upon a free ().Phrack11 (57),August,2001.
6Matt Conover.w00w00 on Heap Overflows.http://www.w00w00.org/files/articles/heaptut.txt,1999.
7Cowan C,Wagle P,Pu C,et al.Buffer Overflows:Attacks and Defenses for the Vulnerability of the Decade[C]//Proc.of DARPA Information Survivability Conference and Exposition.[S.l.]:DARPA Press,2000.
8Du Wenliang,Mathur A P.Vulnerability Testing of Software System Using Fault Injection[R].Coast,TR 98-02,1998.
9Evans D,Larochelle D.Improving Security Using Extensible Lightweight Static Analysis[J].IEEE Software,2002,19(1):42-51.

共引文献28

1邵林,张小松,苏恩标.一种基于fuzzing技术的漏洞发掘新思路[J].计算机应用研究,2009,26(3):1086-1088. 被引量：17
2张宝峰,张翀斌,许源.基于模糊测试的网络协议漏洞挖掘[J].清华大学学报（自然科学版）,2009(S2):2113-2118. 被引量：14
3吴志勇,王红川,孙乐昌,潘祖烈,刘京菊.Fuzzing技术综述[J].计算机应用研究,2010,27(3):829-832. 被引量：30
4夏建军,孙乐昌,吴志勇,王红川,刘京菊.基于Fuzzing的PNG漏洞挖掘技术[J].计算机与数字工程,2010,38(3):92-94. 被引量：4
5曾霞,周四清.软件漏洞发现概率及最优投入水平的研究[J].计算机工程,2010,36(12):173-175. 被引量：3
6吴志勇,夏建军,孙乐昌,张旻.多维Fuzzing技术综述[J].计算机应用研究,2010,27(8):2810-2813. 被引量：12
7王红川,吴志勇,孙乐昌,张旻,刘京菊.Fuzzing技术的样本数据组合研究[J].计算机应用研究,2010,27(8):3067-3069.
8沈亚楠,赵荣彩,王小芹,任华,鲁海军,张新宇,李鹏飞.基于文件规范描述的文件模糊测试[J].计算机工程,2010,36(16):52-53. 被引量：3
9沈亚楠,赵荣彩,王小芹,任华,张新宇,鲁海军,李鹏飞.基于规范生成的文件模糊测试[J].计算机工程与设计,2010,31(16):3591-3594. 被引量：3
10李伟明,张爱芳,刘建财,李之棠.网络协议的自动化模糊测试漏洞挖掘方法[J].计算机学报,2011,34(2):242-255. 被引量：67

同被引文献10

1Oehlert P. Violating Assumptions withFuzzing[J].IEEE Security&Privacy,2005,(02):5862.
2Sparks S,Embleton S,Cunningham R. Automated Vulnerability Analysis:Leveraging Control Flow for Evolutionary Input Crafting[A].2007.477486.
3King J C. Symbolic Execution and Program Testing[J].{H}Journal of the ACM,1976,(07):385394.
4Cadar C,Ganesh V,Pawlowski P M. EXE:Automatically Gen-erating Inputs of Death[A].New York,USA,2006.322335.
5Sen K,Marinov D,Agha G. Cute:a concolic unit testing engine for c[A].{H}New York,USA,2005.263272.
6吴志勇,夏建军,孙乐昌,张旻.多维Fuzzing技术综述[J].计算机应用研究,2010,27(8):2810-2813. 被引量：12
7唐彰国,钟明全,李焕洲,张健.基于Fuzzing的文件格式漏洞挖掘技术[J].计算机工程,2010,36(16):151-153. 被引量：11
8张美超,曾凡平,黄奕.基于漏洞库的fuzzing测试技术[J].小型微型计算机系统,2011,32(4):651-655. 被引量：10
9赵跃华,阚俊杰.基于符号执行的测试数据生成方法的研究与设计[J].计算机应用与软件,2014,31(2):303-306. 被引量：4
10王志强,张玉清,刘奇旭,黄庭培.一种简单网络管理协议漏洞挖掘算法[J].西安电子科技大学学报,2015,42(4):20-26. 被引量：6

引证文献2

1赵跃华,阚俊杰.基于符号执行的测试数据生成方法的研究与设计[J].计算机应用与软件,2014,31(2):303-306. 被引量：4
2杨梅芳,霍玮,邹燕燕,尹嘉伟,刘宝旭,龚晓锐,贾晓启,邹维.可编程模糊测试技术[J].软件学报,2018,29(5):1258-1274. 被引量：8

二级引证文献12

1聂黎生,李欣,李小红.一种高效率的主动式漏洞挖掘平台[J].现代电子技术,2016,39(9):93-98. 被引量：1
2杨梅芳,霍玮,邹燕燕,尹嘉伟,刘宝旭,龚晓锐,贾晓启,邹维.可编程模糊测试技术[J].软件学报,2018,29(5):1258-1274. 被引量：8
3邓其贵,韦彬贵.基于污点分析的工控系统漏洞挖掘技术研究[J].大众科技,2019,21(4):5-7. 被引量：1
4李元诚,王伯彦,吕俊峰,张攀,粟仁杰.面向二进制程序的开源软件缺陷检测方法[J].华北电力大学学报（自然科学版）,2019,46(4):101-110. 被引量：1
5张婉莹,曹晓梅.基于污点分析的白盒模糊测试方案[J].计算机工程与应用,2019,55(18):236-240. 被引量：1
6张超,潘祖烈,樊靖.基于符号执行的堆溢出fastbin攻击检测方法[J].计算机工程,2020,46(10):151-158. 被引量：2
7刘家豪,杨航,付志博.基于Fuzzing测试的网络安全监测系统设计[J].电子设计工程,2022,30(4):97-100. 被引量：1
8王丽娜,张增光,张桐,陈思.针对复杂路径条件的固件测试方法改进[J].武汉大学学报（理学版）,2022,68(1):51-56.
9刘丽艳,李丰,邹燕燕,周建华,朴爱花,刘峰,霍玮.SiCsFuzzer:基于稀疏插桩的闭源软件模糊测试方法[J].信息安全学报,2022,7(4):55-70. 被引量：1
10牛胜杰,李鹏,张玉杰.模糊测试技术研究综述[J].计算机工程与科学,2022,44(12):2173-2186. 被引量：3

1田泽轶,袁渊.模糊测试技术探讨[J].黑龙江科技信息,2014(8):8-8.
2刘海龙,汪永益,潘祖烈.基于变异树的Fuzzing技术研究[J].计算机工程与设计,2011,32(11):3618-3621. 被引量：3
3吴志勇,王红川,孙乐昌,潘祖烈,刘京菊.Fuzzing技术综述[J].计算机应用研究,2010,27(3):829-832. 被引量：30
4聂森,李骁,王轶骏,薛质.一种改进的智能Fuzzing平台设计方案[J].信息安全与通信保密,2013,11(12):134-139. 被引量：1
5王国相,王建章,许德森,李东垣,赵鹏,郭冰楠,李璇.基于Fuzzing技术的工业网络漏洞挖掘技术研究[J].微型机与应用,2016,35(23):5-8.
6郭连城.漏洞挖掘技术分析与研究[J].科技创新与应用,2014,4(26):66-67. 被引量：1
7苏晓艳,武东英,刘龙,韩玉祥.基于Fuzzing的Cisco IOS漏洞挖掘方法[J].计算机工程,2012,38(16):117-120. 被引量：6
8范宝德,殷明.高级语言程序远程调用参数的转换[J].计算机工程与设计,1998,19(3):29-33. 被引量：1
9王海涛,李云,秦晓燕,汪玉美.基于Fuzzing的军用报文软件漏洞发掘技术[J].计算机工程,2012,38(18):61-64. 被引量：1
10曹旭,张一宁.基于逆向工程和Fuzzing技术的AdobeReader漏洞发掘技术研究[J].信息工程大学学报,2009,10(2):204-206. 被引量：4

计算机工程

2010年第16期

浏览历史

内容加载中请稍等...

基于库函数动态跟踪的Fuzzing测试方法被引量：2

参考文献2

二级参考文献9

共引文献28

同被引文献10

引证文献2

二级引证文献12

相关作者

相关机构

相关主题

浏览历史

基于库函数动态跟踪的Fuzzing测试方法 被引量：2

参考文献2

二级参考文献9

共引文献28

同被引文献10

引证文献2

二级引证文献12

相关作者

相关机构

相关主题

浏览历史

基于库函数动态跟踪的Fuzzing测试方法被引量：2