状态定义条件下覆盖率引导反馈的协议模糊测试方法

模糊测试是软件测试与漏洞挖掘领域使用最广泛、最有效的方法之一,在内核、浏览器、文档、协议等软件的开发测试与漏洞挖掘中得到了深入的应用。通过研究基于状态定义条件下覆盖率引导反馈的协议模糊测试的方法,解决单纯通过覆盖率难以引导协议状态转移的问题,通过事先定义协议状态转移过程,将传统的局部最优的覆盖率引导扩大至全局最优的覆盖率。相较于传统协议模糊测试技术,在小样本情况下,所提方法大幅度提高了代码覆盖率;相较于Peach与Spike,代码覆盖提高最高达143.6%,路径覆盖提高最高达162.4%;在长时间运行过程中,相较于Peach的3种数据生成模式,在达到相同路径覆盖时,时间最多缩短98.9%。

基于代码注入的反模糊测试技术

现代灰盒模糊测试器可以通过从程序内部获取信息反馈,可以在短时间内发现大量漏洞。但是如果这项技术被滥用,将对企业和用户造成极大的伤害。为了避免软件程序被随意分析,反模糊测试技术应运而生。然而,现有的反模糊测试技术存在效率低、开销大、效果不理想、使用困难等问题。为了解决此类问题,本文提出了一种基于代码注入的新型反模糊测试技术。本文方法主要针对现代模糊测试器常用的插桩技术,利用插桩技术的局限,使用代码注入的方式绕过模糊测试器的信息检测,从而干扰模糊测试器分析目标程序,最终达到阻止模糊测试器工作的目的。为验证这种新型反模糊测试技术的有效性与处理性能,本文将该方法与当前最先进的反模糊测试技术作用于同一程序并进行比较。结果表明,本方法可以以更小的程序体积和更低程序运行开销来阻止不同的模糊测试器对目标程序进行模糊测试。

TaintPoint:使用活跃轨迹高效挖掘污点风格漏洞

覆盖反馈的灰盒Fuzzing已经成为漏洞挖掘最有效的方式之一.广泛使用的边覆盖是一种控制流信息,然而在面向污点风格(taint-style)的漏洞挖掘时,这种反馈信息过于粗糙.大量污点无关的种子被加入队列,污点相关的种子数量又过早收敛,导致Fuzzing失去进化方向,无法高效测试Source和Sink之间的信息流.首先,详细分析了现有反馈机制在检测污点风格漏洞时不够高效的原因;其次,提出了专门用于污点风格漏洞挖掘的模糊器TaintPoint.TaintPoint在控制流轨迹的基础上加入了活跃污点这一数据流信息,形成活跃轨迹(livetrace)作为覆盖反馈,并围绕活跃轨迹分别在插桩、种子过滤、选择和变异阶段改进现有方法.在UAFBench上的实验结果表明:TaintPoint检测污点风格漏洞的效率、产出和速度优于业界领先的通用模糊器AFL++及定向模糊器AFLGO;此外,在两个开源项目上发现了4个漏洞并被确认.

SiCsFuzzer:基于稀疏插桩的闭源软件模糊测试方法

传统的基于覆盖率反馈的模糊测试工具通过跟踪代码覆盖率来指导测试用例的变异,从而发现目标程序中潜在的漏洞。但在闭源软件的模糊测试过程中,跟踪覆盖率不仅带来额外的开销,而且在模糊测试开销中占据主导。本文通过对Windows平台闭源软件模糊测试开销的剖析,锁定其中两个主要来源,插桩开销和“预热”开销。基于上述分析,提出了一种基于稀疏插桩跟踪的模糊测试方法,在不影响覆盖率计算精度的前提下,采用基于稀疏插桩的跟踪策略,仅对目标程序中覆盖率不可推导的基本块或分支进行插桩跟踪,并根据跟踪结果推导其余基本块或分支的被覆盖情况;同时结合“预热”优化,避免因动态插桩平台反复启动以及对目标程序代码的重复翻译所引入的时间开销。基于上述方法实现的原型工具SiCsFuzzer,在Windows平台9个规模在286KB~19.3MB,类型涉及图片处理、视频处理、文件压缩、加密和文档处理等类型应用所组成的测试集上,跟踪覆盖率引入的额外开销为程序正常执行时间的1.1倍,比传统的基于覆盖率反馈的模糊测试工具快3倍,并发现PDFtk和XnView程序最新版本中的未知漏洞各1个。