嵌入式C代码释放后重用缺陷检测

C代码中的释放后重用缺陷严重影响着嵌入式系统的鲁棒性与可靠性.针对此类漏洞的现有检测方案多针对于计算机系统及应用程序,无法为复杂多样的嵌入式程序提供支持.静态代码分析可以在没有代码运行环境的前提下进行代码缺陷检测.因此,基于LLVM编译框架设计了静态污点追踪方案,实现了针对释放后重用缺陷代码特征的自动化检测.实验结果证...     

BPEL静态缺陷检测方法

为了对广泛流行的业务流程执行语言（BPEL）进行静态缺陷检测,深入研究了BPEL程序中可能存在的各种缺陷,提出了面向缺陷模式的BPEL静态检测方法. 面向缺陷模式检测的方法采用扩展有限状态机对缺陷进行建模,通过属性状态变迁条件判断缺陷状态,并在所有控制流汇合节点上合并相同属性状态的状态机实例,从而避免了冗余判断的问题. 该方法已用于BPEL的缺陷检测系统中. 实例验证结果说明,采用该方法进行测试有效可行,可用于提升流程的可靠性和准确性.     

函数后置信息在软件静态测试中的应用

为了提高基于模式的代码缺陷检测精度,提出一种应用函数后置信息(PFI)软件静态测试方法. 采用PFI描述函数中本地修改集、全局修改集以及参数和返回对数据流的影响,应用控制流迭代技术生成PFI. 该方法以较低的计算复杂性得到所有函数的后置信息,并可应用于静态分析过程中的区间计算和缺陷模式识别阶段. 在缺陷检测系统中的应用结果表明,该方法具备一定的可行性.     

嵌入式软件静态测试技术研究

针对嵌入式系统软件的特点,就嵌入式软件静态测试需要解决的关键技术问题进行研究。提出嵌入式软件的代码整理、静态分析和代码bug检测的实现方法,并在基于ARM的嵌入式软件宿主环境测试平台ARM-TestV1.0上测试实现。测试结果表明,所提出的嵌入式软件静态测试方法行之有效。     

基于图论和FSM的UML模型与代码一致性检测

提出了一种基于图论和有限状态机（FSM）的统一建模语言（UML）模型与代码一致性检测方法.给出了该方法的基本思路;分别讨论了UML模型与代码静态一致性检测和动态一致性检测算法;实现了该检测方法的支撑工具,并使用该工具对C++项目UMLChecker 1.0进行了检测.实验结果表明,所提方法可对UML模型与代码的一致性进行检测,且具有较高的检测精度.通过对静态行为和动态行为的一致性检测可知,检测精度明显提升.     

基于静态信息流跟踪的输入验证漏洞检测方法

针对基于静态分析的漏洞检测技术的高误报率问题,提出基于静态信息流跟踪技术的输入验证漏洞检测方法.在静态代码分析工具FindBugs上实现了该方法,对该方法的漏洞检测精确度和性能进行评估.实验结果表明,采用该方法能够有效地检测输入验证漏洞,在不明显降低运行性能的前提下,将FindBugs的输入验证漏洞检测误报率降低了55.7%.     

基于TMS320C55X的G.729语音压缩算法全汇编优化

G.729语音压缩算法的源代码存在运算量大、在DSP上实现效率低等缺点.为加强其在低功耗便携式设备上的应用,结合C55X平台和G.729算法特点,采用合理的全汇编实现方案,开发l款高度优化的G.729全汇编代码,并给出并行指令优化和指令流水线延迟优化2种汇编代码优化方法及存储空间的优化思路.在TMS320VC5505 EVM上完成全汇编代码的测试和实时实现.测试结果显示代码运算量从l 259.9（mega cycles）/s降为25.3（mega cycles）/s,利用软件工具测得语音质量的MOS得分在3.87左右.     

一种通用化软件脱壳框架研究

软件加壳是当前恶意代码设计与实现过程中的一种常用保护技术,加壳方法繁杂多样,技术日趋复杂,如何对各类加壳代码进行自动化脱壳处理,是当前加壳类恶意代码自动化检测与分析需要解决的首要问题.从加壳代码静态特征、执行原理等方面出发,提出一种通用化的智能脱壳框架,该框架具有静态脱壳效率高、动态脱壳通用性强的优点,实现针对常见主流...     

保持语义不变的C克隆代码预处理方法

克隆代码检测工具的输出结果由于存在克隆检测不一致性缺陷的误检和检测出的克隆代码不能直接用于重构的问题,需要对检测工具的输出结果进行预处理。为了解决该问题,提出一种新的克隆代码预处理方法。首先,将自适应K-最近邻聚类方法与程序依赖图相结合,用于降低克隆不一致性相关缺陷检测的误检。然后,使用基于代价-收益分析的评估方法,在消除缺陷后的克隆代码中识别可重构的克隆代码。实验结果表明,该预处理方法,不仅降低了克隆不一致性相关缺陷检测工具产生的误检,提高了可重构克隆代码的数量,而且将克隆代码检测与克隆代码重构两个过程连接为一个有机的整体,有利于提高软件的质量,降低软件维护的成本。     

基于沙箱技术的恶意代码行为检测方法

通过分析不同恶意代码的行为,讨论沙箱的分类模型和实现机制,提出了一种基于虚拟化沙箱技术恶意代码行为检测方法。该方法采用对x86汇编指令、Windows系统特性、内存布局等进行全面模拟方式,通过模拟疑似为可执行代码的输入的数据流,在模拟执行过程中有尝试调用敏感系统函数行为而实现恶意代码行为检测。测试结果表明,所提方法能够有效地检测恶意代码行为,为电子数据取证提供支持。