基于动态污点分析的程序脆弱性检测工具设计与实现

基于动态污点分析的程序脆弱性检测工具设计与实现
石加玉;彭双和;石福升;李勇
【期刊名称】《信息安全研究》
【年(卷),期】2022(8)3
【摘要】由于程序源码和编译后的可执行文件之间存在一定的语义差异,以及用户输入的不确定性,导致在实际应用中无法保证源代码中已经验证过的性质与其可执行文件一致.因此,在不提供程序源代码的情况下,直接对其可执行程序进行脆弱性分析检测更有实际意义.开展了动态污点分析技术在程序脆弱性检测方面的应用研究,设计了基于libdft API程序脆弱性检测工具,并自定义了污染源和污染汇,以适应不同的脆弱性模式.该工具不需要对目标程序的源代码进行分析,可直接对二进制程序进行检测.测试结果表明,该工具可有效检测出心脏滴血攻击、格式化字符串攻击、数据泄露、ReturnToLibc攻击等多种程序脆弱性漏洞,对帮助编程人员进行程序安全性检测及保护计算机数据安全具有一定的参考价值.
【总页数】10页(P301-310)
【作者】石加玉;彭双和;石福升;李勇
【作者单位】中国地质大学(北京)地球物理与信息技术学院;北京交通大学计算机与信息技术学院;东华理工大学地球物理与测控技术学院;中国地质科学院地球物理地球化学勘查研究所
【正文语种】中文
【中图分类】TP311.56
【相关文献】
1.基于动态污点分析的二进制程序导向性模糊测试方法
2.基于对象跟踪的J2EE程序动态污点分析方法
3.程序断言动态检测工具的设计与实现
4.基于二进制程序的动态污点分析技术研究综述
5.一种基于动态污点分析的注入式攻击检测模型的设计与实现
因版权原因，仅展示原文概要，查看原文内容请购买。