Eunomia: Enabling User-specified Fine-Grained Search in Symbolically Executing WebAssembly Binaries 时间：2023.4 作者：Ningyu He、Zhehao Zhao（北大）/Haoyu Wang（华科） 会议：ISSTA‘2023 开源： https://github.com/HNYuuu/Eunomia-ISSTA23 Abstract​ 尽管现有的技术已经提出了自动化的方法来缓解符号执行的路径爆炸问题，但用户仍然需要通过仔细应用各种搜索策略来优化符号执行。由于现有的方法主要只支持粗粒度的全局搜索策略，它们不能有效地遍历复杂的代码结构。在本文中，我们提出了Eunomia，一种符号执行技术，允许用户指定局部领域知识，以实现细粒度搜索。 ​ 在Eunomia中，我们设计了一个富有表现力的领域特定语言(DSL)，即AES，让用户可以精确地将本地搜索策略定位到目标程序的不同部分。为了进一步优化局部搜索策略，我们设计了一种基于区间的算法，该算法可以自动隔离不同局部搜索策略的变量背景，避免同一变量的局部搜索策略之间的冲突。 ​ 我们将Eunomia作为一个针对WebAssembly的符号执行平台来实现，这使我们能够分析用各种语言（如C和Go）编写但可以编译成WebAssembly的应用程序。据我们所知，Eunomia是第一个支持WebAssembly运行时全部功能的符号执行引擎。 ​ 我们用一个专门的符号执行微基准套件和六个真实世界的应用来评估Eunomia。我们的评估显示，Eunomia在现实世界的应用中加速了错误检测，最多可达到三个数量级。根据一项全面的用户研究结果，用户可以通过编写一个简单直观的AES脚本来显著提高符号执行的效率和效果。除了验证六个已知的真实世界的bug，Eunomia还在一个流行的开源项目Collections-C中检测到两个新的0-day bug。

阅读全文

Syzkaller环境配置 Syzkaller内核模糊测试工具环境搭建，简单测试 项目地址：google/syzkaller: syzkaller is an unsupervised coverage-guided kernel fuzzer (github.com)

阅读全文

(论文复现)GREBE: Unveiling Exploitation Potential for Linux Kernel Bugs源码：Markakd/GREBE (github.com)

阅读全文

Klee安装使用 Linux系统下著名符号执行工具Klee的安装使用

阅读全文

Automated WebAssembly Function Purpose Identification With Semantics-Aware Analysis 会议：WWW’23（International World Wide Web Conference，CCF-A） 作者：Alan Romano、Weihang Wang（USC） 时间：2023.4 ABSTRACT​ WebAssembly是最近建立的一个网络标准，用于提高网络应用的性能。该标准定义了一种二进制代码格式，作为各种语言的编译目标，如C、C++和Rust。该标准还定义了一种可读性的文本表示法，不过，WebAssembly模块很难被人类读者解释，无论他们的经验水平如何。这使得理解和维护任何现有的WebAssembly代码变得困难。因此，第三方WebAssembly模块需要被开发者隐含地信任，因为验证功能本身可能是不可行的。 ​ 为此，我们构建了WASPur，一个自动识别WebAssembly函数功能的工具。为了构建这个工具，我们首先构建了一个广泛的WebAssembly样本集，代表了WebAssembly的状态。其次，我们分析数据集，并确定所收集的WebAssembly模块的不同使用情况。我们利用WebAssembly模块的数据集来构建模块中功能的语义感知的中间表示（IR）。我们对函数IR进行编码，用于机器学习分类器，我们发现这个分类器可以预测一个给定函数与已知命名函数的相似性，其准确率为88.07%。我们希望我们的工具能够检查优化和减化的WebAssembly模块，这些模块去除了函数名称和大多数其他语义标识符。

阅读全文

(论文阅读)Binary-level Directed Fuzzing for Use-After-Free Vulnerabilities 时间：2020 作者：Manh-Dung Nguyen（巴黎萨克雷大学CEA）、Sébastien Bardin、Richard Bonichon 会议：RAID 开源：[1]https://github.com/strongcourage/uafuzz ;[2]https://github.com/strongcourage/uafbench ABSTRACT​ Directed fuzzing聚焦于通过利用额外信息（bug stack trace、补丁或者有风险的操作）来测试代码的特定部分，其重要的应用场景包括漏洞复现、补丁测试以及对静态分析报告的验证。尽管Directed fuzzing最近受到了很多关注，但诸如UAF等难以检测的漏洞仍然没有得到很好的解决，特别是在二进制层面。 ​ 我们提出了UAFUZZ，第一个针对UAF漏洞的二进制级别directed greybox fuzzer。该技术包括了一个针对UAF特性设计的Fuzzer，一个轻量级的代码插装（code instrumentation）工具和一个高效的bug处理步骤。 ​ 对真实案例中的bug复现进行的实验评估表明，UAFUZZ在故障检测率、暴露时间和bug处理方面明显优于最先进的Directed fuzzer。UAFUZZ在补丁测试中也被证明是有效的，在Perl、GPAC和GNU Patch等程序中发现了30个新的错误（7个CVEs）。最后，我们为社区提供了一个专门用于UAF的大型模糊测试基准，该基准建立在真实代码和真实bug之上。

阅读全文

(代码分析)GREBE-Analyzer污点分析代码解析 Code：Markakd/GREBE (github.com) Target：GREBE/analyzer

阅读全文

(论文阅读)The Use of Likely Invariants as Feedback for Fuzzers 时间：2021.8 作者：Andrea Fioraldi、Daniele Cono D’Elia、Davide Balzarotti 会议：USENIX 开源：eurecom-s3/invscov: The Use of Likely Invariants as Feedback for Fuzzers (github.com) 截止2023.5.6被引23次 ABSTRACT​ 如今Fuzzing的主要限制是以coverage-guided为基准设计的fuzzing方法是为了尽可能达到程序的不同部分而逐渐被优化，但若仅仅可达性不足以触发一个漏洞时，这种方法就会陷入困境。实际上，许多bug的触发不仅依赖于特定的控制流，还依赖一些程序的变量的值（数据流）。不幸的是，过去提出的捕捉程序状态的替代探索策略在实践中帮助不大，因为它们会立即导致状态爆炸问题。 ​ 在本文，我们提出了一个新型反馈机制，通过考虑到程序变量的”不变值“和其之间的关系来增强代码覆盖率。为此，我们在基本块层面上学习可能的变量“不变值”，并相应地划分程序状态空间。我们的反馈可以区分输入是否违反了一个或多个不变量，并对其进行奖励，从而完善代码覆盖通常提供的程序状态近似值。 ​ 基于LLVM和AFPL++，我们在一个名为INVSCOV的原型中实现了上述的技术。实验表明，与使用纯代码覆盖反馈的fuzzer相比，我们的方法可以发现更多、更不同的bug。此外，还发现了一个在OSS-Fuzz上每天测试的库中的两个漏洞，而且当时在其最新版本中仍然存在。

阅读全文

The Kernel Address Sanitizer(KASAN)1. 兼容性​ KASAN是一个动态内存安全错误检测器，旨在发现内核out-of-bounds和UAF错误。KASAN有三个模块：Generic KASAN、Software Tag-Based KASAN、Hardware Tag-Based KASAN。Generic KASAN兼容许多CPU架构，但性能开销很大；Software Tag-Based KASAN和Hardware Tag-Based KASAN都只兼容arm64架构的CPU，性能开销会更小。 ​ 一般的，称Generic KASAN和Software Tag-Based KASAN为software KASAN； ​ 称Software Tag-Based KASAN和Hardware Tag-Based KASAN为tag-based KASAN。 ​ Generic KASAN支持的指令集架构有：x86_64, arm, arm64, powerpc, riscv, s390, 和 xtensa；tag-based KASAN只支持arm64。

阅读全文

(LLVM入门)编写LLVM PASS​ 前置知识： LLVM IR结构； C++ 面向对象； CMake；

阅读全文