基于v8引擎的二进制漏洞挖掘平台设计与实现

摘要

软件安全漏洞是当前信息安全研究领域关注的核心问题之一。如何有效的发现漏洞、减少漏洞造成的危害,即漏洞挖掘和防护工作是其中的研究重点。其中,面向源代码的漏洞挖掘历史悠久并已经取得了相当成效,然而相当多的商业软件和共享软件并不会开放它们的源代码,并且即便开放,也无法确认源代码与实际二进制程序之间的相关性。与此同时,面向源代码的漏洞挖掘也无法查找由编译器设计等因素引入的漏洞。因此,对二进制程序进行漏洞挖掘有着重要的意义。
　　目前的二进制漏洞挖掘研究工作通常集中在设计一种新的漏洞挖掘方案或改良已有方案方面。而在方案实现上,研究者们倾向于以一些二进制代码分析平台为基础,调用各种第三方支持库来完成方案。由于二进制代码分析平台大多并不是为漏洞挖掘专门构建,所以开发者需要做很多额外的、重复性的工作以实现自己的方案。同时,这些平台大多使用C/C++语言开发,开发难度较高,对开发者的工程能力要求较高。
　　为此,本文设计了一个专用的漏洞挖掘平台。该平台提供了静态分析与动态分析的基本支持,对于目前最常用的动态分析,分别提供了调试器与挂钩、在线与离线等多种分析模式。在平台的辅助分析模块中整合并提炼了历年来的漏洞挖掘算法中的核心部分,为在此之上构建新的漏洞挖掘方案提供了坚实的基础。最后,平台使用Java Script脚本语言作为开发语言,通过v8引擎的支持,使得代码兼具运行的高效性与开发的快捷性。

目录

封面

声明

中文摘要

英文摘要

目录

第一章 引言

1. 1漏洞挖掘研究背景

1. 2研究必要性

1. 3章节安排

1. 4本章小结

第二章 漏洞挖掘综述

2. 1漏洞概述

2. 2常见漏洞挖掘技术

2. 3现有漏洞挖掘工具与平台分析

2. 4本章小结

第三章 平台设计架构

3. 1架构概览

3. 2静态分析模块

3. 3动态执行模块

3. 4辅助分析模块

3. 5用户交互模块

3. 6本章小结

第四章 平台的测试与结果分析

4. 1静态分析模块测试

4. 2动态执行模块测试

4. 3模糊测试实现与测试

4. 4本章小结

第五章 结束语

致谢

参考文献