结合静态分析的软件脆弱性测试方法

Fuzzing是一种有效的软件脆弱性动态测试方法,为了避免传统Fuzzing技术的盲目性所导致的测试效率低下的问题,提出了静态分析和遗传算法相结合来指导Fuzzing数据生成的方法,并设计实现了一个智能化的Fuzzing系统SFS(smartfuzzing system)。触发脆弱点的前提是覆盖脆弱性语句,该方法通过静态分析技术提取脆弱性语句,并用遗传算法指导测试用例对脆弱性语句进行覆盖,从而提高脆弱性语句的覆盖效率,避免Fuzzing的盲目性。     

基于函数识别的主动防御技术研究

随着日益增加的系统安全脆弱性以及广泛使用的因特网技术,病毒等破坏性代码也日益猖獗,严重威胁着网络安全。本文介绍一种静态分析可执行程序代码的新方法,针对程序中使用的API函数及库函数序列静态地分析程序的行为,实现在不运行程序的前提下预警防范一些不安全行为,并基于此提出了一种基于函数识别的主动防御技术。     

动态与静态取证

文章介绍了动态取证与静态取证的定义与区别,结合实际工作中的案件取证过程,从几个现实案例出发,分析动态与静态取证状态之间的差异,并提出了一种融合两种取证状态的通用取证流程。     

轻量级静态分析器构造方法综述*

由于对分析对象有严格的限制且开发难度大,传统的重量级静态分析器在应用中受到限制;轻量级静态分析器具有易于开发、容错性好、灵活等特点,能有效解决重量级静态分析器在应用中遇到的问题。首先分析比较了两种静态分析器,详细介绍了已有的轻量级静态分析器构造方法;分析了已有方法的优缺点,并指出现存的问题;最后展望了本领域研究的发展趋势。     

基于代码克隆检测的操作系统脆弱性分析方法

基于代码克隆检测技术进行软件脆弱性检测,是软件脆弱性静态分析中的一个重要方向.目前,已有软件脆弱性检测工具在面向大规模代码集的脆弱性检测方面存在不足,且缺乏针对操作系统脆弱性的优化.为此,基于代码克隆检测技术,提出了一种操作系统脆弱性检测方法.首先在一般的"代码表征—提取特征—特征比对"检测流程的基础上,加入了基于操作系统软件包类型和函数代码规模的预筛选机制,在进行代码表征之前排除大部分无关代码.其次选择函数基本信息、符号序列和控制流路径三个角度提取代码特征,逐级比较脆弱代码和待测代码的相似度.最后从公开脆弱性数据库获取脆弱样本,对典型开源操作系统进行了实验,结果显示预筛选能够有效缩减实验对象的代码规模,而检测结果的平均精确度达到了84％.     

手机数字基带处理芯片中的静态时序分析

本文首先以Synopsys公司的工具Prime Time SI为基础,介绍了ASIC设计中主流的时序分析方法:静态时序分析及其基本原理和操作流程;接着分析了它与门级仿真之间的关系,提出了几个在TDS-CDMA数字基带处理芯片设计中遇到的疑难问题,并解释其原因;最后,介绍了TDS-CDMA数字基带处理芯片中的静态时序分析过程。     

基于控制依赖路径覆盖的Fuzzing模型

为解决软件生产过程中存在的测试时间过长而导致成本急剧增长的问题,针对基于动静结合的Fuzzing方法中存在的缺陷,提出了基于控制依赖路径覆盖的Fuzzing模型。在该模型中,动态测试目标为静态分析提取的脆弱性语句。设计了一种基于两层相似度的适应度函数来指导遗传算法搜索覆盖控制依赖路径的测试用例,并在该测试用例基础上生成Fuzzing测试用例来验证脆弱性语句中的脆弱性,排除误报的脆弱性语句。该模型将有限的测试资源放在最可能出现漏洞的代码上,从而达到在增强Fuzzing方向性并保持高度自动化的同时提高测试效率的目的。     

静态图像切换技巧

介绍了在Windows下用Delphi编程实现静态图像切换技巧显示的原理和方法 ,并对基本的图像切换实例进行了介绍。通过这几种实例的组合及变化 ,可以得到各种变化效果     

一个静态分析器的设计与实现

从理论上阐述了软件静态分析的概念、意义及分类,以及静态分析器与编译器的不同,并详细、系统地介绍了一个静态分析器的设计与实现.描述了它的关于软件系统信息和模块信息提取功能,又从实现的角度介绍了该分析器程序的系统结构及数据结构.初步的实践证明上述静态分析器可以提高数据采集效率,能够对程序系统信息及模块信息进行有效提取.     

一个静态分析器的设计与实现

从理论上阐述了软件静态分析的概念、意义及分类,以及静态分析器与编译器的不同,并详细、系统地介绍了一个静态分析器的设计与实现。描述了它的关于软件系统信息和模块信息提取功能,又从实现的角度介绍了该分析器程序的系统结构及数据结构。初步的实践证明上述静态分析器可以提高数据采集效率,能够对程序系统信息及模块信息进行有效提取。     

静态检测Ada程序死锁的方法

文中介绍几种常用的静态检测Ａｄａ程序死锁的方法，分析了它们的适应性和不足之处，并指出ＮＰ问题和检测结果的准确性是无锁检测面临的主要问题，死锁检测仍然是一个有待进一步研究的问题。     

发射极电阻对放大器静态工作点稳定性的作用及其常见电路分析

放大电路的性能受其静态工作点的影响很大,通常认为发射极电阻对静态工作点的稳定有很大作用.本文通过理论分析了基极电阻就是用于放大器静态电流的稳定所起到的作用,并分析了常见的几种带反馈电阻的放大器的静态工作点稳定性.     

电子政务门户网站静态技术研究

在电子政务蓬勃发展的今天,政府门户网站尤其是新闻资讯发布类网站在访问速度、安全性、可靠性上都提出了更高的要求.采用网站静态技术不仅可以大幅提高网站反映速度、提升用户满意度,还有利于网站的安全稳定.介绍了网站静态化的关键技术和方法,着重介绍了模板技术和爬虫技术.之后给出几种方法的优缺点对比.并介绍了一个利用模板技术静态化的应用实例.开发人员可根据项目规模、工期、成本、自身技术情况等综合考虑后选择适合的方法.     

可执行程序缺陷函数的静态检测方法

可执行程序的缺陷函数检测是软件漏洞发现的重要技术手段之一。从二进制代码指令流的角度出发,研究了缺陷函数的签名机制,提出了一种基于可执行程序静态分析的缺陷函数检测方法。该方法通过静态分析应用程序的可执行代码,建立进程运行过程中可能的函数调用序列集合。以该集合为基础,通过对比分析缺陷函数签名,可以准确检测该程序调用的缺陷函数集合,以及分析可能导致的脆弱性。通过实验分析,验证了该方法对于缺陷函数检测的有效性。     

静态图像的格式转换与SPT

探讨了静态图像格式转换的几种途径，介绍了ＤＯＳ下图像格式转换软件ＨＩＪＡＡＫ，分析了Ｐｈｏｔｏｓｔｙｌｅｒ，ＳＰＴ各自的优势，提出了一个有普遍意义的思路。     

计及分布式光伏接入的配电网脆弱性评估研究

分布式光伏的接入会对配电网脆弱性水平造成较大的影响,继而影响配电网的安全稳定运行。在分析分布式光伏功率特性的基础上,结合配电网节点静态能量函数模型和负荷转移系数相关理论,提出一种可反映配电网节点状态和结构的脆弱性评估模型。建立含分布式光伏接入的配电网仿真计算模型,对光伏不同并网容量和多个光伏不同并网位置对配电网脆弱性的影响规律进行研究。结果表明,随着光伏并网容量的增大,其对配电网脆弱性的影响呈现先逐渐增大后趋于稳定的态势,稳定后脆弱性最小值降低了约24%、最大值增大了约31%,且多个分布式光伏的并网节点越靠近配电网末端,并网距离越小,配电网脆弱性受到的影响越大。     

基于静态分析的安全漏洞检测技术研究

消除软件中的安全漏洞是建立安全信息系统的前提。静态分析方法可以自动地提取软件的行为信息,从而检测出软件中的安全漏洞。和其它程序分析方法相比,该方法具有自动化程度高和检测速度快的优点。在本文中,我们首先描述了静态分析的理论基础,然后说明了类型推断、数据流分析和约束分析等主要静态分析方法及其在安全漏洞检测中的应用,并比较这些方法的优缺点。最后给出了几种支持安全漏洞静态检测的编程语言。     

使用VC++在有背景图片的对话框中实现静态文本的透明显示

介绍了几种在有背景图片的对话框中实现静态文本控件(Static)文本透明显示的方法，指出了其中的不足。通过从类CStatic派生一个新类CTranspStatic实现了对静态文本控件文本的透明显示，并克服了存在的不足，同时给出了相应的示例程序。     

静态内存管理系统的研究与应用

静态内存管理系统与动态内存管理系统是嵌入式操作系统中常见的两种内存管理方式。文章着重分析了静态内存管理系统的原理、数据结构和应用函数,然后以数字电视广播系统多路接收器为例介绍了其在嵌入式系统中的应用,最后就它的几个优点进行了阐述。     

程序静态分析技术与工具

静态分析对于保证程序质量，提高软件生产率有重要的意义。本文综述了静态分析常用的策略，介绍了当前静态分析的研究现状，比较了目前已有的静态程序分析工具。