软件反漏洞挖掘体系介绍
针对软件的逆向工程和反逆向工程由来已久,并且仍将长期对抗下去。每个人都知道所有的软件都有缺陷,一个小的编程失误可以导致程序崩溃。而造成安全问题的缺陷就是软件的漏洞,漏洞永远是黑客圈最热衷谈论的话题之一。反逆向工程可以阻止一定的漏洞挖掘与分析过程,但不能阻止全部。黑盒模糊测试是最受青睐的漏洞挖掘方式之一。它应用到漏洞挖掘领域已经很多年,并且仍将长期应用下去。黑盒模糊测试的瓶颈是无法理解程序的运行,无法应对程序内复杂的条件判断,效率低,这就需要智能白盒测试方式进行补充。白盒测试通过分析程序来理解程序的运行,从而精确构造输入数据进行测试,这样就加大测试路径的覆盖度,提高测试效率。但是白盒测试依赖二进制指令插桩、符号执行与约束求解,这就给反白盒测试以可乘之机,实现在白盒测试环境中运行的效果与实际运行的效果不—致,无意义的垃圾代码、分支与循环足以让符号执行与约束求解引擎崩溃。
软件 漏洞挖掘 黑盒模糊测试 白盒测试
俞科技
华为
国内会议
北京
中文
213-217
2014-09-24(万方平台首次上网日期,不代表论文的发表时间)