基于控制流隐藏的代码迷惑

为了保护程序免受恶意攻击,确保软件的安全执行,提出了一种隐藏控制流图压平的代码迷惑方法。在已有的控制流图压平的基础上,引入分支函数和转移函数,建立了加强的压平控制流模型以防静态分析。本方案的安全性更多的是基于数据流,其模型是结构化且可扩展的,难以重构原始控制流图,所使用的单向函数不会静态的泄露任何控制流信息。若要理解程序控制流,攻击者必须对更大的代码段进行分析,能有效的防止静态逆向工程。     

基于控制流混淆的软件保护方法研究

软件盗版、篡改和逆向工程是软件安全的主要威胁。逆向工程师利用逆向分析技术可以理解软件的行为,并从中提取核心算法和重要数据结构。针对目前大部分的混淆方法难以抵御动态攻击的缺点,文中提出一种基于控制流图多样化的代码混淆方法。实验结果表明,该方法不仅能够有效降低静态反汇编分析准度,同时能够在一个合理的性能开销之内增加动态逆向分析的难度,从而使混淆后的程序具有更高的安全性。     

软件自动测试方法浅谈

介绍软件自动测试的方法及其实现过程，强调测试在软件开发过程中的作用，期望软件测试在我国软件行业不断发展的未来走上正规化，以确保软件产品的高质量。     

基于故障模式的代码审查方法

基于故障模式的代码审查方法是发现代码中存在的逻辑缺陷、提高软件测试工作效率的有效方法之一。它可以根据成熟的故障模式,对代码逻辑表达的正确性、代码结构和实现的合理性等方面进行有针对性的检查。大量的工程实践表踢。这种方法能够帮助测试人员快速发现代码中存在的缺陷。是提高软件测试工作效率和改进软件质量的有效方法。     

航天嵌入式软件静态测试方法研究

航天器在轨运行场景高度复杂,部分场景很难在地面实现真实状态下的动态验证.通过对近30年来航天软件在轨、在研以及第三方评测发现缺陷的分析与研究,提出了一套涵盖检查单法、变量分析法、中断访问冲突分析法、代码逻辑分析法、工具静态扫描分析法在内的以人工代码审查为主、工具静态扫描分析为辅的静态测试方案.检查单法侧重于检查项的对照...     

基于代码路径的嵌入式软件可靠度评估

嵌入式系统软件可靠性设计不足引发的问题数量呈上升趋势,如何在软件产品交付前评估软件可靠度已成为亟待解决的问题.当前的软件可靠度评估理论源于硬件可靠性体系,已形成了适用于不同的场合较多的评估方法,但存在使用时难以获得可靠性数据的问题,可操作性不强。代码是软件的关键属性,采用软件代码分析的方法,提出一种基于代码路径的软件可靠度评估方法,利用已有的项目软件测试数据验证该评估模型,进而给出提高软件可靠度的设计方法,可有效指导嵌入式软件可靠度评估并提高软件可靠性设计质量.     

基于Soot控制流图的函数调用路径分析

每个应用系统中存在多条基于函数的调用路径,这些路径的准确提取对于程序的理解、测试和维护起着重要的作用。文章利用开源的Java程序编译优化框架-Soot,对java程序的数据流及控制流进行分析,提取函数间关联信息写入中间文件,并对文件中的数据进行了分析,阐述了程序函数调用路径生成的流程及Soot的优点。最后通过实验验证,相比其他程序调用分析软件,基于Soot调用路径分析的软件测试工具-JSFUNP,对程序调用路径的分析更加准确、高效。     

基于执行匹配的轻量级代码语义搜索方法

代码重用是软件开发过程中提高开发效率、降低开发成本的有效方法之一,如何帮助程序员在已有代码库中准确快速地搜索到期望代码是代码重用的前提。基于语义匹配的代码搜索方式能有效地提高代码搜索的准确度,但已有方法存在过程复杂、效率低下等缺陷,难以被推广应用。提出一种轻量级的针对输入输出语义匹配的代码搜索方法。根据搜索要求,利用程序静态分析技术和启发式过滤规则对源代码进行筛选,构建函数级可用代码库,并将所有函数编译成字节码文件;根据用户输入数据信息,动态执行字节码文件,以获得执行结果;最后将执行结果与用户期望的输出数据进行精确比较,以返回功能匹配的相关代码。实例表明,该方法能够快捷准确地实现用户代码搜索需求。     

基于Java的代码组件重用技术JavaBeans

文章深入地研究了基于Ｊａｖａ的代码组件重用技术ＪａｖａＢｅａｎｓ。首先系统地总结了ＪａｖａＢｅａｎｓ中代码组件Ｂｅａｎ的特性,然后简要地描述了ＪａｖａＢｅｎａｓ的代码组件模型,最后详细地介绍了如何重用代码组件Ｂｅａｎｓ。     

一种开源代码缺陷识别系统的实现

近年来,软件开发中使用开源软件的比例越来越高,开源代码引起的一系列软件安全问题不容忽视。安全开发管控最重要的手段就是对源代码进行静态分析,当前的源代码静态分析技术主要包括语法分析、语义分析、数据流分析及控制流分析等,此类静态分析技术主要是针对缺陷类型构建分析模型,并不考虑开源代码漏洞问题。通过从开放漏洞数据库中抽取所有可用的漏洞记录,并从开源项目所在开源代码库中收集易受攻击的代码建立开源缺陷代码库,挖掘代码缺陷库中的缺陷匹配信息,并通过应用实例证明这是一种有效的源代码安全漏洞挖掘技术,具有较高的缺陷搜索匹配速度和准确性。     

一种基于VC++代码测试匹配算法的软件故障诊断方法

针对软件纠错性维护问题，提出了软件故障诊断的概念及一种故障模块匹配算法。软件故障诊断方法是在VC＋＋代码的静态测试和动态测试相结合的基础上，运用故障模块匹配算法匹配二者的测试结果，生成优先诊断模块表，再利用路径覆盖的方式生成测试用例，针对可疑模块进行进一步的测试诊断，最后确定故障点。     

基于主动代码的面向业务的网络故障管理研究

文章针对传统的网络故障管理的不足,研究了基于主动代码的面向业务的网络故障管理.采用主动网络技术、面向业务概念和CORBA IDL,这使得网络故障的管理不仅具有分布式的特点,而且具备主动式的定制功能,满足了面向业务的网络故障管理要求.     

基于动态代码注入的故障注入技术

基于软件实现的故障注入技术,其优点是对于注入故障及其传播有较高可控性和可观测性。然而在实际的故障注入应用中,为了获得更高的可控性,存在时间的利用效率比较低的现象。这主要涉及到即时故障注入时刻的识别问题。文章介绍一种名为Code Cave的故障注入方法,它可以实现在测试运行时进行软件的动态代码注入。注入的代码在被测试的应用程序的上下文中执行,在预计时刻精确地捕获应用程序。与以往的实验结果相比,它能够减少近一半的实验时间。     

雷达软件代码静态质量度量方法

通过软件静态质量分析可以定量评价软件代码的质量。文章通过对软件代码静态质量度量模型的研究,考虑质量准则在不同度量范围间的传递,结合雷达软件代码质量的关注点,提出雷达软件静态质量度量方法,以量化数据表示代码的质量水平,并以玫瑰图的形式表示出来。试验结果表明,新的度量方法能够有效地对软件静态质量进行度量,为设计师了解软件代码质量水平提供了客观依据,减少了软件质量评估中的主观性。     

代码审查-实施软件工程化不可忽视的环节

主要强调了软件工程化实践中不可忽视的环节-代码审查的重要性;指出了静态分析和代码审查在软件开发过程中的位置;结合工程实践详细讨论了代码审查的侧重范围;最后,简要给出单元测试的常用方法。     

代码审计系统的误报率成因和优化

目前,代码审计已经成为网络安全建设中举足轻重的环节,基于自动化源代码检测的代码审计系统已经得到了广泛的应用,但仍存在诸多缺点。总结了当前代码审计系统的不足之处,简述了不同静态源代码检测算法的原理,并分析检测报告中出现误报的原因,提出了相应的优化思路,描述了优化方案的技术原理及其应用场景。     

软件静态代码检查工具引入及效益分析

介绍了所在组织引入静态代码检查工具的试用过程,包括静态代码规范检查、BugDetective以及从功能性、易用性、性能等方面进行与其他开源工具的分析对比,其作用及性能皆优于开源工具.并对试行前后的的效益进行了分析,该工具的引入极大化提高了代码评审覆盖率和代码质量.最后,给出了具有实践意义的经验总结.     

浅谈软件开发阶段的测试

软件开发阶段的测试是贯穿于软件开发各个阶段的测试活动,它不仅包括通过运行软件来检验软件质量的动态测试方法,还包括对项目开发初期的需求分析、设计及代码等通过人为审阅来查找问题的静态测试方法。     

一种基于垃圾代码的混淆算法研究

控制流混淆用于混淆程序的运行流程,从而防止对软件的逆向工程,但通常混淆后的程序在代码量以及执行时间方面都有较大增长.针对不透明谓词难抵挡动态攻击这一弱点,提出了利用"垃圾代码"进行控制流混淆的思路,采用分支垃圾代码和循环垃圾代码算法相结合,并引入了Hash函数以限制代码的插入操作,从而控制代码长度的增长.实验结果表明,该混淆算法能够有效地控制混淆转换带来的性能过载,同时能够有效地防止逆向工程攻击.     

基于后缀树的相似代码检测方法的研究

通常以词或字符为单位构造后缀树进行代码检测,空间开销大,同时增加字符串对比数量。针对该问题,文章设计了一种基于后缀树的代码相似度检测方法,应用Rabin指纹算法以句子为单位生成的指纹序来构造后缀树,并结合RMQ提取后缀树指纹公共子串长度,以此计算出代码的相似度。