基于Fuzzing的文件格式漏洞挖掘技术.pdfVIP

信息科技 中国科技信息2_014年第。g期CHINASCIENCEANDTECHNOLOGYINFORMATIONMay．2o14 基于Fuzzing的文件格式漏洞挖掘技术 刘 涛 王海东 天津理工大学计算机与通信工程学院 File fOrmatvUInerab．Iity discovery exploiting technique based on fuzzing LiuTao W ang Haidong TechnologySchoolofComputerandCommunicationEngineering，TiaajinUniversity 摘 要 本设计基于Windows平 台上文件格式漏洞分析方法，通过 Fuzzing技术实现对软 件的 自动化安全测试，提 出基于文件内容变异和基于文件结构生成两种生成 畸形文件方法，利用反汇编引擎 libdasm完成对 目标程序的异常监控 。用c# 和 c语言实现一个 比较完整的文件格式Fuzzing测试 系统，能够对 目标程序进 行Fuzzing测试，并将测试结果通过 uI展现给测试人 员对应用软件进行Fuzzing 测试，并将测试结果展现给研究人 员。 刘 涛 关键词 Fuzzing；漏洞挖掘；软件安全；安全测试 刘涛 (1981一)硕 士 实验师．天津 Abstract 理工大学计算机与 ThispaperbaseonthemethodofvulnerabilitiesanalysisonwindowsOperatingsystem， 通信工程学院，研 究方向：计算机网 UsingFuzzingtoachieveautomationsoftwaresecuritytesting．Secondlyitcomesupwith 络．信息安全。 twomethodstogeneratemalformedfile：Content—basedandstructure—based．itusethe disassemblyenginelibdasm tomonitortheexceptionoftargetsoftware．FinallyituseC and C programminglanguagetoachievesavisualtoolsforFuzzingandaidsauditortoanalysis vulnerabilities． Keywords fuzzing；vulnerabilitydiscovery；softwaresecuriyt；securitytesting DOL：10．39S／j．issn．1001—8972．2014．09．053 软件作为计算机的重要组成部分，在计算机发展过程 件可能存在的安全隐患。 中