论文研究基于混合符号执行的Fuzzing测试技术.pdf

Fuzzing测试和符号执行都是漏洞挖掘领域常用的技术，但各自都存在一定缺陷。为提高漏洞挖掘效率，将两者优点相结合，设计并实现了一种基于混合符号执行的Fuzzing测试工具。采用二进制代码插桩技术，动态记录程序关键指令执行过程和环境。采用离线混合符号执行技术，在指令重放过程中收集路径约束条件，并采用STP程序求解。根据求解结果生成新数据集并动态测试，监测执行异常，计算代码覆盖率。经实验验证，工具能有效发现测试程序异常，并适用于大型应用软件测试，已发现Word2003软件中存在的七个异常，代码覆盖率较传统Fuzzing测试工具也有较大提高。