OD: Vulnerability Detection

终于看完第二篇漏洞利用原理高级篇，内容虽然看懂了，但深入理解不够，这部分内容以后还要不断强化。

第三篇是漏洞挖掘技术，篇首的话中，提到程序的不可计算性（图灵机的停机问题）、希伯尔数学纲领的失败，结尾说：由于程序的不可计算性，故无法从理论上用数学方法彻底消灭程序中的所有逻辑缺陷，很有启发性。

成为有效的攻击者或者安全专家，不仅需要精通漏洞利用技术，还要掌握漏洞挖掘技术。

工业界目前普遍采用的是 Fuzz 测试，Fuzz 测试最早由 Barton Miller、Lars Fredriksen、Bryan So 在一次偶然的情况下想到，这种方法能 crash 大多数程序，很少误报，能迅速找到漏洞，缺点是无法保证找到所有漏洞。

Fuzz 测试与基于功能性的测试不同，主要目的是 crash、break、destory，是一种自动化的 rough attack，其畸形数据往往可以触发缓冲区溢出，但却不能成功利用，故为 rough。测试员要实时捕捉异常、崩溃和寄存器信息，进行可利用性判断。

攻击者热衷于使用工具，而研究者偏向于对源码进行分析审计，直接在程序的逻辑上寻找漏洞。静态代码分析技术的缺点的误报多。这方面的方法和理论很多，如数据流分析、类型验证系统、边界检查系统、状态机系统，这些都可以追溯到 1976 年 ACM Computing Surveys 上的那篇 Data Flow Analysis in Software Reliability。

以下是一些通过审计源码来检测漏洞的产品：

* Fortify，在编译阶段扫描若干种安全风险。
* Rough Auditing Tool for Security（RATS），用于分析 C/C++ 的语法树，寻找存在安全问题的函数调用。
* BEAM（Bugs Errors And Mistakes），IBM 研发的静态代码分析工具，使用数据流方法分析源码的所有可执行路径。
* SLAM，使用先进算法，用于检测驱动中的 bug，被 Microsoft 所使用，已经成功检测出一些驱动中的漏洞。
* Flaw Finder，David Wheeler 用 Python 开发的代码分析工具，免费。
* Prexis，可审计多种语言的源码，审计的漏洞类型超过 30 种。

动态测试技术

SPIKE

这是一款非常著名的 Protocol Fuzz 开源 Linux 工具，针对网络协议，作者是 Immunity 公司的创始人 Dave Aitel，他引入了基于数据块的理论，将数据的基本单位看成块（block），并实现了一套强大的 API 和数据结构用于定义和构造精确的 Fuzz 用例，避免盲目发送数据，大大提高了测试用例的准确度。Dave Aitel 在 XCON 2006 上演示了如何用 SPIKE 对 Windows 的 RPC 调用进行 Fuzz：将 OllyDbg 的所有异常监听选项打开，并 attack 到目标程序上，然后开始发送畸形数据，如果引起了目标进程出错或者崩溃，就需要去调试看看有没有发现漏洞。许多商用 Fuzz 工具采用 SPIDE 的数据快变异测试的思路。

beSTORM

由 Beyond Security 安全公司设计开发的，运行在 Windows 下，是一款全能开安全审计程序，利用模糊测试技术实现针对网络协议的安全测试。采用分体设计，自动化测试部分为一个独立程序，实时监视部分为另一个独立程序。可以实现对多种不同网络协议进行安全测试，无论明文式还是非明文式。

静态代码审计

Coverity

Coverity 是静态源码分析工具，相当于一个超级编译器。它支持多种 C/C++（ms、gnu、hp-ux、sun、wind river），支持多种系统（windows、solaris、linux、freebsd、mac等），使用 checker 模块来检测漏洞，checker 包括 c checkers（内存、缓冲区、参数、返回值）、concurrency checkers（线程同步、锁机制）、security checkers（可信数据流分析、字符串溢出等）。

Coverity 扩展性很好，可以开发自己的 checker，并且具有友好的 GUI。

Coverity 被不少企业用户使用，包括 Symantec、HP、Panasonic、Samsung 等。

作者研究过静态代码分析，总结说：所有静态代码分析的理论和技术都面临同样一个问题，就是如何处理程序逻辑中由动态因素引起的复杂条件分支和循环。静态分析算法要想取得实质性突破必须面对“彻底读懂”程序逻辑的挑战（停机问题说明检测程序中的死循环是不可计算的），在形式语言中实际要涉及上下文的相关方法，而编译理论和状态机理论只发展到解释上下文无关方法的阶段。