一种挖掘Windows内核API漏洞的模糊测试方法技术

本发明专利技术涉及一种挖掘Windows内核API漏洞的模糊测试方法，对已知样本进行突变，突变样本按队列执行测试并获取执行路径位图，测试进程崩溃则针对新崩溃样本保存当前突变样本，测试进程未崩溃则根据执行路径位图判断突变样本价值，若有则将突变样本加入有效样本队列，否则丢弃样本，直至队列处理完毕，取有效样本队列中的突变样本再次突变并重复模糊测试，扩大测试覆盖面。本发明专利技术在调用API前满足前置条件，使用路径反馈约束突变样本，有效提高模糊测试覆盖面，可高效率进行模糊测试，提高发现Windows内核提权漏洞的可能性，可以针对Windows下所有系统API调用进行模糊测试，保证获取样本执行路径的速度。

A fuzzy testing method for mining API vulnerabilities in Windows Kernel

【技术实现步骤摘要】
一种挖掘Windows内核API漏洞的模糊测试方法
本专利技术涉及防止未授权行为的保护计算机、其部件、程序或数据的安全装置的
，特别涉及一种样本覆盖面大、路径及执行结果反馈及时的挖掘Windows内核API漏洞的模糊测试方法。
技术介绍
由于微软不断的更新升级，Windows操作系统不但更加易用，也慢慢成为人们最喜爱的操作系统，当然，作为主流商用操作系统，其安全性一直备受关注。内核作为Windows系统的重要组件，其存在的提权漏洞一直被用来突破Windows系统上的安全边界。对于Windows内核模糊测试工具来说，存在两大技术难点：（1）生成样本文件时如何满足API调用前置条件；对于模糊测试工具来说，能否生成有效的样本至关重要，无法满足API调用前置条件意味着无论怎样突变此函数的参数，都将导致内核路径不会发生任何变化，进而直接导致样本的有效性降低，无法深入探测程序内部漏洞；（2）如何高效获取Windows内核执行路径；由于Windows为闭源系统，无法如Linux等开源系统一样进行源码插桩等方式获取执行路径，也无法使用Dr.Memory等二进制代码插桩工具来获取执行路径，由于无本文档来自技高网...

【技术保护点】
1.一种挖掘Windows内核API漏洞的模糊测试方法，其特征在于：所述方法包括以下步骤：步骤1：获得1个或多个已知样本，对所述已知样本进行突变操作；步骤2：获得突变样本队列，所述突变样本队列中有N个突变样本，令n=1；步骤3：对第n个突变样本执行测试，获取突变样本执行路径位图；步骤4：若测试进程崩溃，则基于对应的执行路径位图判断是否为新崩溃样本，若是，则保存当前突变样本，否则，丢弃样本；n=n+1，若n≤N，返回步骤3，否则，进行步骤6；若测试进程未崩溃，直接进行下一步；步骤5：根据突变样本执行路径位图判断突变样本是否有价值，若有，则将突变样本加入有效样本队列，否则丢弃样本；n=n+1，若n...

【技术特征摘要】
1.一种挖掘Windows内核API漏洞的模糊测试方法，其特征在于：所述方法包括以下步骤：步骤1：获得1个或多个已知样本，对所述已知样本进行突变操作；步骤2：获得突变样本队列，所述突变样本队列中有N个突变样本，令n=1；步骤3：对第n个突变样本执行测试，获取突变样本执行路径位图；步骤4：若测试进程崩溃，则基于对应的执行路径位图判断是否为新崩溃样本，若是，则保存当前突变样本，否则，丢弃样本；n=n+1，若n≤N，返回步骤3，否则，进行步骤6；若测试进程未崩溃，直接进行下一步；步骤5：根据突变样本执行路径位图判断突变样本是否有价值，若有，则将突变样本加入有效样本队列，否则丢弃样本；n=n+1，若n≤N，返回步骤3，否则，进行步骤6；步骤6：若有效样本队列中不为空，则取出有效样本队列中的突变样本并进行突变操作，返回步骤2，否则，返回步骤1。2.根据权利要求1所述的一种挖掘Windows内核API漏洞的模糊测试方法，其特征在于：所述步骤1中，突变操作包括以下步骤：步骤1.1：定义API模板信息；步骤1.2：启动，对模板信息进行扫描，并把API信息根据返回数据类型的不同进行分类存储到对应的API列表；步骤1.3：对待突变样本中的数据进行解析，获取每个API调用的若干单元；步骤1.4：对解析后的样本的单元中每一个元素进行突变；步骤1.5：判断参数类型，若所需参数需要调用返回类型与所需参数...

【专利技术属性】
技术研发人员：熊文彬，范渊，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江,33