郭德贵-程序安全检测技术 第四讲 全局分析.pptVIP

2017-4-11 1 第四讲 全局分析* 4.1 函数调用图 4.2 函数摘要 2017-4-11 2 4.1 函数调用图 全局分析模块主要是对程序进行整体分析，生成该程序的函数调用图。 2017-4-11 3 1.函数调用图定义 定义 函数调用图：是对程序进行分析而生成的一个有向图。它是对函数间关系的静态描述，提供了一种函数之叫调用关系的形象化表示方法。可以形式化表为G=(V，E)。其中，V代表某函数的调用图结点集合；E为有向边集合，代表函数间的调用关系。vl?v2表示vl到v2存在-条有向边，v1结点中的函数调用了v2结点的函数。 函数调用图对理解大型系统有较大的帮助，常被用于程序理解、源码静态检测等领域并取得了较好的效果。 2.数据结构 为了提高对函数调用图中函数信息的查找速度，结合函数摘要信息的存储表示，可以采用链式哈希表的存储结构存储函数调用图。 2017-4-11 4 上图给出了系统中函数调用关系的表示情况。其中，fhashtab是一个哈希表，它的每一项指向一个具有相同哈希值的函数链表。源代码中所有的自定义函数都会在这张哈希表中找到其对应的结点。哈希表的每项对应的链表的结点类型为focallnode。该结构主要包含两个信息，一个是该函数的摘要信息，另外就是该函数调用的函数的链表，这个函数链表的每个结点的主要信息为调用函数的原型。 2017-4-11 5 2017-4-11 6 3.生成算法 函数调用图的生成步骤大致如下： 1)扫描待检测项目，记录项目中的所有文件。 2)逐个扫描文件，通过分析头文件内容，记录所有的自定义函数。通过对所有函数原型进行哈希，查找函数是否被添加到fhashtab。若该函数未添加进fhashtab，则将函数填入到fhashtab中。否则，不做任何处理。 3)遍历fhashtab中每一项的所有函数，对每个函数进行第4步骤的操作。 4)逐行分析函数定义中的所有代码，若存在函数调用，首先确定被调用函数的原型。其次查找该分析函数所对应的调用链表。若被调用函数不在该分析函数的调用链表中，则将该函数加入到调用链表中。否则，不做任何处理。 在对源代码进行检测时遇到的问题之一就是系统中函数之间的调用。函数在每次调用时的所处的上下文环境不一致，针对流敏感的检测系统需要在每次调用函数时，根据调用时上下文运行环境对函数进行一次分析。尤其是当多个函数嵌套调用时，工作量会大大增加。以往常用的方法是字符替换技术，这种做法类似于宏技术，它在函数调用处，将函数调用根据一定的规则将函数的调用展开为函数的实现。该方法大大增加了问题检测的复杂性，产生较大的时间幵销和空间开销，未从根本上解决该类问题。 2017-4-11 7 4.2 函数摘要 1.函数摘要定义 定义 函数摘要：是对函数中某方面信息的一种抽象的概括性描述。它包括了函数中无法判定的、可能存的安全缺陷的代码信息。系统在遍历过程中遇到函数调用时，根据函数的摘要信息更新有关变量属性，并判定函数的摘要信息中是否存在安全缺陷。可以避免对同一函数的多次检査，简化了问题的复杂性。 函数摘要信息据待分析安全缺陷的特征，忽略函数中相对分析问题而□足冗余信息的部分，仅仅关注涉及到问题本质特征的一些信息。函数的摘要信息对函数特征描述的准确性有很大的仲缩性，可能比较精确，也可能不够准确。这取决于系统对问题分析的准确性、扩展性、复染性等方而的折中。 2017-4-11 8 2017-4-11 9 2.函数摘要内容 从函数调用者和被调用者之间交互关系的角度将被调用函数的摘要信息概括为三部分内容：1)传递的参数；2)被调函数中的某些操作；3)函数的返回值。可以用一个三元组表示函数摘要的信息： summary=para, action, ret 其中： 1)para表示函数接收的参数特征。包括参数的个数、参数的类型、参数名称、默认参数等信息。 2)action记录了函数中与待检测问题有关的一组操作。主要包括对外部变量的修改和函数内部与参数相关的、无法确定安全性的操作，细分为两类，一类是与内存有关的操作，如对外部动态分配空间的释放、对全局指针的赋值、无法确定安全性的内存访问等。一类是与简单类型变量有关的操作。如外部简单变量的赋值等等。 3)ret表示函数的返回值，代表着函数的执行结果，往往涉及到赋值等操作。 3.生成函数摘要 函数摘要信息生成过程： 1)遍历函数调用图fhashtab，读取该哈希链表中的一个摘要信息为空的函数结点，将其压找并标记。 2)读取找顶函数，若该函数的调用函数链表不为空，则将函数链表中摘要信息为空且未被标记的所有函数压栈，执行第2步操作，直至栈顶元素的调用函数链表中的函数全部被标记或者摘要信息不为空。 3)弹出找顶元素，若该函数的摘要