景知识,然后主要研究了动态污点分析技术的两个重要分析方法——数据流分析 和控制流分析。数据流分析方法主要通过指令分析来识别和标记外部污点数据, 跟踪污点数据通过算术类和移动类指令造成的显式信息传播,检测污点数据被用 作跳转对象地址、格式化字符串参数等可疑情况并作出攻击报警提出。控制流分 析通过控制流图和辅...
它依据TaintTracer 的污点 跟踪结果,借助模糊测试框架Peach,对样本中最有可能触发软件异常的位 置进行变异,提高模糊测试的效率。 3、利用这个模糊器对存在解析ZIP 格式漏洞的软件进行测试。测试结果表明, 它能有效的提高模糊测试的效率。 本文的主要创新点在于利用动态污点分析技术,缩小了样本中变...
二进制程序动态污点分析技术研究综述
08 公开 1 0091 20544 题(中、 英文) 目 基于动态污点分析技术的模糊测试研究 Research on Fuzzing Based on Dynamic Taint Analysis Technology 作者姓名 闫东晓 指导教师姓名、 职务 张玉清 教授 学科门类 军事学 提交论文日 期二 0 一三年三月 学科、 专业 密码学 文档格式:PDF | 页数:67 | 浏览次数:...
运用动态二进制代码插装技术将分析代码插入目标进程,动态执行污点分析,设定策略规则检测进程是否非法使用污点数据,结合符号执行,解出输入变量约束条件.从数据依赖和控制依赖这2方面,获得含有外部输入类型信息的安全漏洞特征.对7个已知安全漏洞的实验结果验证,基于类型的动态污点分析方法可以有效提升安全漏洞机理分析的语义,...
动态污点分析技术在ActiveX控件漏派挖掘上的应用
基于动态污点分析的工控设备硬件漏洞挖掘方法研究 近年来,工业控制系统安全事件频发.CNNVD和CVND统计的漏洞情况表明,公开的工控硬件漏洞数量逐年增加.因此,针对工控硬件开展漏洞挖掘技术研究,对提高工控系统安全具有重... 段斌,李兰,赖俊,... - 《信息网络安全》 被引量: 0发表: 2019年 基于静态污点分析和符号执行...
收稿日期: 修回日期: E-mail :xinyi_lan1314@163.com 基于动态污点分析的栈溢出 Crash 判定技术研究 张婧,周安民,刘亮,贾鹏,刘露平,贾丽 (四川大学 电子信息学院,成都 610065) 摘 要:Fuzzing 技术和动态符号执行是目前用于软件漏洞挖掘的主流技术,然而这些技术以发现程序异常为测试终止条件,却没有进一步评估程序...
基于代码重写的动态污点分析 0 引言 跨站脚本攻击是JavaScript漏洞攻击的常见形式,针对此类攻击,常规应对方法是基于用户输入端以及服务器输出端进行检测防范,即使用白名单检验用户输入端,在输出端做信息转义。这种方法有两点不足:首先,难以确定应该过滤或转义哪些内容;其次,难以保证任意用户输入端均得到有效处理[1]。动态...
针对这一问题,该文针对HTML5混合型安卓应用,通过修改其所使用的V8JavaScript引擎,基于动态插桩实现了一种优化编译执行模式下的动态污点分析方法.该方法使用污染包裹对象的方式对污点标签进行存储,在优化编译执行模式下的Hydrogen中间代码层面进行插桩操作.实验结果表明:该方法能够有效地在优化编译执行模式下进行污点跟踪,且...