欢迎来到天天文库
浏览记录
ID:26809163
大小:1.13 MB
页数:48页
时间:2018-11-29
《基于内存数据模糊测试漏洞挖掘机制的研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、华中科技大学硕士学位论文摘要互联网的迅猛普及,促使各种网络应用软件无论在种类上还是数量上都大大增加,很多被广泛使用的网络服务软件由此成为了黑客攻击的重点对象。追本溯源还是这些软件中存在漏洞而导致的,而其中缓冲区溢出漏洞是黑客攻击中经常利用的一个漏洞。在深入分析Windows平台下软件漏洞的产生原因基础上,详细剖析了堆栈缓冲区溢出的原理和模糊测试技术。针对网络服务软件的特点,指出了传统的基于协议模糊测试技术存在的不足。针对该不足,设计了一个将内存数据模糊测试技术应用到网络服务软件的漏洞挖掘机制。该机制通过快照恢复变异方法来实现,不需要分析目
2、标软件通信协议即可对目标软件进行模糊测试。基于测试用例基理论,结合二分法的思想给出了一种模糊数据生成算法。算法的基本思想是,仅生成少量的测试用例即可达到触发异常并精确定位溢出位置的目的。这种改进的网络服务软件漏洞挖掘机制能够有效地解决传统的基于协议的模糊测试方法中存在的模糊数据构造难度大、测试效率低的问题。设计并实现了改进的网络服务软件漏洞挖掘机制,通过选择合适的测试目标进行漏洞挖掘。经过多次测试及溢出定位分析,成功地找到了目标软件中的一个栈溢出漏洞,并对该漏洞进行了准确定位。通过验证,证明了模糊数据生成算法及溢出定位算法是正确可行的,达到
3、了测试效果。使用该工具对网络服务软件进行模糊测试提高了效率,降低了测试难度。由于其脱离了协议层,可将其作为一个通用的模糊测试机制,应用于不同协议的网络服务软件的漏洞挖掘工具中。关键词:漏洞挖掘,内存数据模糊测试,缓冲区溢出,快照恢复变异I华中科技大学硕士学位论文AbstractBoththetypesandquantitiesofvariousinternetapplicationshaveincreasedbecauseofthepopularizationofinternet.Inrecentyears,ashackersandviru
4、sconstantlyappear,networkservicesoftwarewhichisuniversallyappliedthereforebecomesthemaintargetofhackers.Thisphenomenonresultsfromsoftwarevulnerability.Bufferoverflowisalwaysthemostcommonformofvulnerabilityandismostfrequentlyusedbyhackers.Onthebasisofanalyzingthereasonwhyvu
5、lnerabilitiesofsoftwareoccurinWindowssystem,astackbufferoverflowtheoryandfuzzingtesttechnologyareexplainedindetail.Asforthecharacteristicsofnetworkservicessoftware,thispaperpointsoutthedefectsoftraditionalfuzzingtesttechnologywhicharebasedonnetworkprotocol.Inordertosolveth
6、eproblem,in-memoryfuzzingtestisusedinminingvulnerabilitiesofnetworkservicesoftware.Thisideabecomesfeasiblebyusingsnapshotrestorationmutation(SRM)withoutanalyzingtargetsoftwarecommunicativeprotocol.Anupdatedmethodofdiggingbufferoverflowvulnerabilitiesofnetworkservicesoftwar
7、eisproposedinconnectionwiththetheoryofbaseoftestcase.Thispapergeneratesakindofalgorithmtogeneratefuzzingdatainconnectionwithdichotomy.Thisalgorithmissimpleandcantriggerabnormalandaccuratepositioningofoverflowpositionbyusingasmallnumberoftestcases.Usingthismethodtodigvulner
8、abilitiesinnetworkservicesoftwarecanomitexecutiveprocessesofanalyzingcommunicativeprotoco
此文档下载收益归作者所有