会议专题

基于静态插装和约束求解的C源代码整数漏洞检测方法

整数漏洞是重要安全威胁之一.以C源代码为研究对象,提出了一种基于静态插装和约束求解的整数漏洞检测方法:首先定位C源代码序中可能的整数漏洞发生点,并在其前面插装检测代码;同时定位可能导致整数漏洞的输入源,并将其标记为符号变量.之后,将静态插装后的源码编译成可执行代码,并进行(符合和具体执行的)混合执行.在动态执行的过程中,通过对插装代码对应的符号约束进行求解,可以检测整数漏洞是否存在,以及当整数漏洞存在时符号变量相应的具体取值;进一步地,通过对从程序入口点到整数漏洞点所在路径上所有的条件跳转约束进行求解,可以获得引导程序到达整数漏洞点路径上符号变量相应的具体取值.结合两者即可以辅助生成触发漏洞的输入用例.

信息安全 整数漏洞检测 C源代码 约束求解 程序插装

国内会议

第八届中国可信计算与信息安全学术会议

湖北恩施

中文

1-6

2014-09-13(万方平台首次上网日期,不代表论文的发表时间)