黑盒測(cè)試通常不考慮測(cè)試的路徑覆蓋問(wèn)題，在測(cè)試的完整性方面存在局限，往往不能發(fā)現(xiàn)未執(zhí)行代碼中的漏洞。例如下面是摘自于一個(gè)服務(wù)器軟件的代碼片段：

?

　　此處軟件利用sscanf() API 將原始網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)換為一個(gè)整數(shù)，然后將所生成的該整數(shù)與靜態(tài)整數(shù)值3 857 106 359 進(jìn)行比較，如果這2 個(gè)值不匹配，那么協(xié)議解析器就會(huì)由于一個(gè)“訪(fǎng)問(wèn)協(xié)議錯(cuò)誤”而返回。若測(cè)試用例中無(wú)此整數(shù)，則無(wú)法對(duì)跳轉(zhuǎn)后的代碼進(jìn)行測(cè)試，而要想通過(guò)一般的數(shù)據(jù)變異生成包含此數(shù)的用例，所要構(gòu)造的測(cè)試用例數(shù)和耗費(fèi)的測(cè)試時(shí)間都是相當(dāng)龐大的。為提高效率，可以根據(jù)諸如此類(lèi)的代碼中的靜態(tài)整數(shù)和字符串生成相應(yīng)的測(cè)試用例集。只要利用靜態(tài)代碼分析工具，查找代碼中的靜態(tài)字符串、整數(shù)和路徑分支處有關(guān)路徑選擇的比較字段，將其保存到測(cè)試數(shù)據(jù)庫(kù)。

　　另外還可在錯(cuò)誤注入點(diǎn)所在的函數(shù)中搜索對(duì)不安全庫(kù)函數(shù)的調(diào)用，根據(jù)不安全庫(kù)函數(shù)易引發(fā)漏洞的類(lèi)型，生成相關(guān)的測(cè)試用例集。同時(shí)還可以在動(dòng)態(tài)追蹤過(guò)程中，在執(zhí)行跳轉(zhuǎn)指令前修改指定寄存器的值以到達(dá)不同路徑的代碼，從而提高了測(cè)試的代碼覆蓋率。

　　2.4 基于快照恢復(fù)的錯(cuò)誤注入技術(shù)

　　現(xiàn)今大多數(shù)軟件為了提高自身安全性，都加強(qiáng)了軟件的糾錯(cuò)能力和安全保護(hù)機(jī)制，會(huì)在接收外部輸入后對(duì)輸入數(shù)據(jù)進(jìn)行正確和一致性檢測(cè)，甚至一些軟件還要在之前對(duì)編碼的數(shù)據(jù)進(jìn)行解碼，不考慮數(shù)據(jù)格式的暴力測(cè)試在軟件對(duì)輸入數(shù)據(jù)進(jìn)行的正確和一致性檢測(cè)中都會(huì)被過(guò)濾掉。而大多數(shù)協(xié)議或文件格式都非常復(fù)雜且未被公開(kāi)，想要了解格式的結(jié)構(gòu)或生成正確格式的文件都非常困難。為此，采用基于內(nèi)存快照恢復(fù)的錯(cuò)誤注入技術(shù)，以繞過(guò)軟件的檢測(cè)機(jī)制進(jìn)行fuzzing測(cè)試。選用具有正確格式的輸入數(shù)據(jù)樣本以通過(guò)軟件的相關(guān)檢測(cè)函數(shù)的驗(yàn)證，在執(zhí)行到真正對(duì)數(shù)據(jù)進(jìn)行應(yīng)用的相關(guān)解析函數(shù)時(shí)，設(shè)置錯(cuò)誤注入點(diǎn)，保存此時(shí)進(jìn)程的所有上下文內(nèi)容即進(jìn)程快照，接著改變調(diào)用參數(shù)為生成的測(cè)試用例，再在函數(shù)的結(jié)束處設(shè)置還原點(diǎn)，接著繼續(xù)運(yùn)行并監(jiān)測(cè)程序的運(yùn)行狀況。若無(wú)異常發(fā)生，則當(dāng)程序運(yùn)行到還原點(diǎn)時(shí)掛起進(jìn)程，將進(jìn)程環(huán)境恢復(fù)為錯(cuò)誤注入點(diǎn)處保存的上下文內(nèi)容，重新進(jìn)行錯(cuò)誤注入，直到程序發(fā)生異常或測(cè)試用例耗盡。采用這種方法還可以避免通常測(cè)試過(guò)程中的網(wǎng)絡(luò)延遲、重啟程序和執(zhí)行與處理輸入無(wú)關(guān)的代碼等所耗費(fèi)時(shí)間，大大提高了測(cè)試效率。

　　3 系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)與實(shí)驗(yàn)評(píng)估

　　用pythON 語(yǔ)言編寫(xiě)了基于上述技術(shù)的測(cè)試工具，此工具主要由5 個(gè)模塊組成，分別為靜態(tài)逆向分析模塊、動(dòng)態(tài)跟蹤模塊、測(cè)試數(shù)據(jù)生成模塊、錯(cuò)誤注入模塊、異常檢測(cè)及記錄模塊?？傮w模塊組成如圖2 所示。

?

　　靜態(tài)逆向分析模塊主要是利用反匯編工具IDA Pro 來(lái)反匯編目標(biāo)程序的二進(jìn)制代碼，以生成相應(yīng)的匯編代碼，在此基礎(chǔ)上利用腳本自動(dòng)識(shí)別確定函數(shù)塊及其內(nèi)部的基本塊，分析程序的基本結(jié)構(gòu)和函數(shù)調(diào)用關(guān)系;查找代碼中的靜態(tài)字符串、整數(shù)和代碼分支處的比較字段，并搜索代碼中調(diào)用的不安全庫(kù)函數(shù)，用以建立測(cè)試用例庫(kù)。

　　動(dòng)態(tài)跟蹤模塊在調(diào)試器的基礎(chǔ)上構(gòu)建而成，主要負(fù)責(zé)在程序執(zhí)行期間動(dòng)態(tài)監(jiān)測(cè)輸入函數(shù)的調(diào)用，以確定輸入數(shù)據(jù)的內(nèi)存位置;接著跟蹤輸入數(shù)據(jù)的流向和使用，在輸入數(shù)據(jù)被讀寫(xiě)時(shí)記錄操作函數(shù)，以確定錯(cuò)誤注入點(diǎn)。

　　測(cè)試數(shù)據(jù)生成模塊主要負(fù)責(zé)根據(jù)靜態(tài)逆向分析模塊提供的分析查找結(jié)果自動(dòng)建立測(cè)試用例庫(kù)，并利用測(cè)試用例庫(kù)在測(cè)試過(guò)程中自動(dòng)生成測(cè)試用例。

　　錯(cuò)誤注入模塊主要負(fù)責(zé)自動(dòng)將測(cè)試數(shù)據(jù)生成模塊生成的測(cè)試用例注入到程序進(jìn)程中。在程序運(yùn)行到錯(cuò)誤注入點(diǎn)時(shí)，保存錯(cuò)誤注入前的進(jìn)程快照，修改輸入數(shù)據(jù)所在的地址指針;在執(zhí)行到還原點(diǎn)時(shí)，恢復(fù)之前保存的進(jìn)程快照，重新進(jìn)行錯(cuò)誤注入。

　　異常檢測(cè)記錄模塊主要負(fù)責(zé)通過(guò)監(jiān)測(cè)程序的異常報(bào)錯(cuò)，尋找軟件存在的問(wèn)題。要記錄分析的部分包括：(1)異常的類(lèi)型：運(yùn)算錯(cuò)誤，標(biāo)準(zhǔn)輸入/輸出錯(cuò)誤，內(nèi)存訪(fǎng)問(wèn)錯(cuò)誤，系統(tǒng)APIs 調(diào)用錯(cuò)誤，一般運(yùn)行時(shí)錯(cuò)誤，語(yǔ)法錯(cuò)誤，應(yīng)用程序不可預(yù)知的崩潰等。(2)錯(cuò)誤記錄：系統(tǒng)自身的錯(cuò)誤記錄，可執(zhí)行程序的錯(cuò)誤記錄。(3)出錯(cuò)時(shí)各個(gè)寄存器值和其他環(huán)境變量的值，以及程序的返回值。

　　選取一款小型代理服務(wù)器軟件Polipo 作為測(cè)試對(duì)象，驗(yàn)證該動(dòng)態(tài)輸入追蹤方法的有效性。用系統(tǒng)動(dòng)態(tài)跟蹤服務(wù)器進(jìn)程接收來(lái)自遠(yuǎn)程client 的http 請(qǐng)求，針對(duì)處理請(qǐng)求消息中各字段的處理函數(shù)生成測(cè)試用例并注入進(jìn)行fuzzing。當(dāng)生成測(cè)試用例的Content-Length 字段值為一個(gè)極大整數(shù)時(shí)，檢測(cè)到發(fā)生內(nèi)存非法訪(fǎng)問(wèn)異常，服務(wù)器隨即崩潰。通過(guò)調(diào)試器調(diào)試軟件發(fā)現(xiàn)Polipo 的client.c 文件中httpClientDiscardBody()函數(shù)存在符號(hào)錯(cuò)誤，當(dāng)遠(yuǎn)程用戶(hù)提交帶有超長(zhǎng)Content-Length頭的http 請(qǐng)求會(huì)產(chǎn)生整數(shù)溢出，進(jìn)而導(dǎo)致服務(wù)崩潰，從而驗(yàn)證了該漏洞的存在。

　　4 結(jié)束語(yǔ)

　　本文在基于反匯編的輸入路徑追蹤技術(shù)的基礎(chǔ)上，結(jié)合基于代碼覆蓋的測(cè)試數(shù)據(jù)生成和基于快照恢復(fù)的錯(cuò)誤注入技術(shù)，將其應(yīng)用于fuzzing 測(cè)試中，提出了一種軟件安全漏洞自動(dòng)挖掘的新方法。該方法較好地解決了fuzzing 技術(shù)存在的測(cè)試數(shù)據(jù)空間巨大、代碼覆蓋不完整和測(cè)試效率低等問(wèn)題，且無(wú)需目標(biāo)軟件源代碼，因而應(yīng)用范圍較廣?；诖朔椒ㄔO(shè)計(jì)并實(shí)現(xiàn)了一個(gè)測(cè)試系統(tǒng)，通過(guò)對(duì)實(shí)例軟件的漏洞挖掘?qū)嶒?yàn)，驗(yàn)證了該方法的有效性。下一步工作主要為對(duì)輸入路徑的追蹤細(xì)化為針對(duì)指令級(jí)的追蹤，以進(jìn)一步提高動(dòng)態(tài)追蹤的精確性和可靠性。