技术总结
本发明公开了一种基于静态污点分析和符号执行的安卓应用漏洞挖掘方法,主要解决现有用静态污点分析方法挖掘漏洞的过程中,分析范围固定,内存消耗巨大,分析结果存在误报的问题,其实现方案是1)配置分析目标并反编译程序源码;2)对反编译的结果进行控制流分析;3)用户根据控制流分析结果选择source函数,缩减分析目标;4)依据控制流分析结果进行数据流分析,产生漏洞路径;5)采取静态符号执行技术过滤数据流分析的结果,过滤后剩下的部分作为找到的漏洞,警告用户并打印漏洞路径。本发明在现有的静态污点分析技术的基础上扩展了漏洞挖掘的范围,减少了漏洞挖掘的内存消耗,提高了漏洞挖掘结果的精确度,可用于安卓应用程序漏洞的挖掘和研究。
技术研发人员:付胧玉;杨超;杨力;马建峰;罗丹;卢璐
受保护的技术使用者:西安电子科技大学
文档号码:201611113164
技术研发日:2016.12.07
技术公布日:2017.05.24