基于符号执行的测试数据生成方法的研究与设计

软件漏洞的研究是信息安全的一个重要分支。漏洞挖掘的主要方法是通过精心构造测试数据输入程序来触发漏洞,由此可见如何生成测试数据是该技术的关键,也是成功挖掘漏洞的关键。在分析漏洞存在原理和触发条件的基础上,提出一种更为高效的测试数据生成方法。该方法通过不安全函数来定位漏洞的触发点,深度与宽度混合遍历来确定触发的路径,利用符号执行技术来确立漏洞触发的条件,最后再根据条件生成测试数据,使生成的数据不仅有更高针对性,并且还提高了代码的覆盖率,从而能提高漏洞挖掘的效率和准确性。实验结果表明该方法具有良好的效率和准确性。

基于符号执行与混合约束求解的测试用例生成研究

由于现有基于符号执行的测试用例生成方法无法对关于字符串的测试用例生成提供有效支持,因此提出并实现了基于符号执行与混合约束求解测试用例自动化生成方法。该方法利用模型检测软件对被测软件源代码进行符号执行,生成关于字符串与数值的混合约束集,利用字符串-数值约束求解器对约束集进行求解,最终根据求解结果生成软件测试用例与不可达路径。实验结果表明,该方法较好地支持了关于字符串测试用例生成,且具有良好的效率与准确性。

路径前缀测试策略的研究与实现

本文介绍了一个构造TD-P对(测试数据——路径对)的测试策略,首次将符号执行技术应用到由Prather R.E.等人提出的路径前缀测试策略上,从而克服了在静态路径测试中符号执行技术所遇到的困难,并第一次将测试数据之间的靠近性原理引入到测试数据产生算法中。利用这一方法只需要用户的极少干涉,就能产生测试数据。最后,给出了一个测试支持工具PPTS,并在PC机上实现了文中所提出的算法。