本發明提出了一種基于動態調試的緩沖區漏洞檢查系統和方法，該系統包括異常捕捉模塊和fuzzer模塊；異常捕捉模塊用于創建目標程序進程，實時監測程序運行狀態并記錄異常信息,fuzzer模塊根據被測軟件的特征構造畸形數據，然后采用TCP或UDP的方式發送給目標程序端口開始進行模糊測試，如果發現程序異常，則目標程序存在漏洞，否則，則繼續進行模糊測試。異常捕捉模塊和fuzzer模塊之間通過全局變量來進行通信。基于本發明提出的系統，還提出了一種基于動態調試的緩沖區漏洞檢查方法。本發明采用觸發和捕獲的方式，不僅可以實現自動化的漏洞檢測，還可以記錄現場信息。縮小檢測范圍，集中精力分析漏洞成因和利用方法。

技術領域

本發明屬于服務器安全技術領域，特別涉及一種基于動態調試的緩沖區漏洞檢查系統和方法。

背景技術

隨著IT行業的快速發展，計算機軟件的種類和數量不斷增多，軟件中存在的漏洞也快速增長，這些漏洞給企業和用戶帶來了重大的經濟損失。這些漏洞主要包括:緩沖區溢出漏洞、SQL注入漏洞、跨站腳本執行漏洞、整數溢出漏洞、格式化字符串漏洞等。在各類軟件安全漏洞中緩沖區溢出可謂是最為普遍。

近幾年雖然出現了很多保護機制，在遏制緩沖區溢出漏洞方面取得了非常大的成果，但是隨著保護機制逐漸被人們了解，其弊端也不斷顯現。傳統的漏洞檢測技術一般都要借助靜態分析工具來生成反匯編代碼，通過反匯編代碼來查找程序中存在的漏洞。這種分析方法很笨拙，需要閱讀大量的反匯編代碼，且不說閱讀底層代碼有多困難，單就工作量來說也是非常大。

發明內容

本發明提出了一種基于動態調試的緩沖區漏洞檢查系統和方法，通過觸發和捕獲的方式，實現自動記錄檢測過程中觸發的程序異常，從而定位漏洞。

為了實現上述目的，本發明提出了一種基于動態調試的緩沖區漏洞檢查系統，該系統包括異常捕捉模塊和fuzzer模塊；

所述異常捕捉模塊用于創建目標程序進程，實時監測程序運行狀態并記錄異常信息；所述fuzzer模塊用于根據被測軟件的特征構造畸形數據，然后將畸形數據發送到目標程序端口進行模糊測試，如果發現程序異常，則目標程序存在漏洞，否則繼續進行模糊測試；

所述異常捕捉模塊和所述fuzzer模塊通過全局變量進行通信。

進一步的，所述異常捕捉模塊采用API函數CreateProcessA()創建目標程序進程；所述異常捕捉模塊采用連續調用WaitForDebugEvent()函數實時監測程序運行狀態。

進一步的，所述異常捕捉模塊實時監測的程序運行狀態包括CPU寄存器的信息，系統堆棧的信息。

進一步的，所述異常捕捉模塊為了獲取異常發生是的CPU寄存器信息，增加提取寄存器信息的功能，采用GetThreadContext()函數獲取寄存器信息，采用SetThreadContext()函數更改寄存器信息。

進一步的，所述fuzzer模塊在進行漏洞檢查之前，首先通過檢測程序進程狀態判斷，判斷程序是否處于活動狀態，當process-active狀態為true時，程序處于活動狀態；當process-active狀態為false時，則程序出現異常。

進一步的，所述fuzzer模塊根據被測軟件的特征構造random和unexpected的畸形數據，然后采用TCP或UDP的方式發送給目標程序端口開始進行模糊測試，如果發現程序異常，則目標程序存在漏洞，否則，則繼續進行模糊測試。

本發明還提出了一種基于動態調試的緩沖區漏洞檢查方法，是在一種基于動態調試的緩沖區漏洞檢查系統上實現的，包括以下步驟：

S1：采用API函數CreateProcessA()創建目標程序進程；