-
-
[推荐]动态“模糊”测试介绍
-
发表于: 2024-5-26 11:30
-
这里我们来说一下“模糊”测试功能。
这里的“模糊”测试不是“模糊测试”。只要是对动态分析的改进。
软件代替人工逆向是大势所趋。之前三蒜的断点表通过自动读入反汇编文档进行下断点(这里采用OD的反汇编文件)。但是出现了一个问题:噪音断点太多,无用断点太多。影响分析效率和速度。
比如下面这3个BMP图片,同样的软件创建,大小不同,颜色不同,内容不同。但是都是BMP图片。软件处理流程基本是相同的。
实际是这样吗?我们用三蒜载入OD输出不经过任何加工的反汇编断点,显示4401个断点。
然后我们来到三蒜测试窗口,发现这三个执行断点的数量,特征,完全不同。
测试的时候一定要勾选“获取清洗序列表”。样本至少为2.最多不能超过256个。
这时候我们发现3个样本执行了3个特征。我们来到断点表窗口,查看显示信息。可以看到每一次执行的断点序列长度如下。
这并不是我们想要的结果,怎么办呢?原来的断点表是不满足要求的,三蒜的清洗断点可以满足这个功能。
我们通过清洗断点,让这些样本的执行特征一样。
清洗断点目前有2个功能,白名单和黑名单。
白名单:在满足要求的情况下,选择最小的断点表。
黑名单:在满足要求的情况下,选择最大的断点表。
如下所示,如果选择黑名单,断点表从4401修改为4399.
如果选择白名单,则清减到283。
我们选择黑名单清洗模式,保存断点表,重新测试。发现这次测试这3次路径一样了。
虽然这个功能可以解决一些问题,但是我们还是建议您还是以静态分析为主。
毕竟,快啊!!!
更多参考:https://github.com/GarlicFuzzer/PeachFuzzer_Pits
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
