HEALER: Relation Learning Guided Kernel Fuzzing学习笔记

原创 已于 2022-11-21 19:44:21 修改 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#学习 #系统安全 #linux

于 2022-11-13 23:34:56 首次发布
本文介绍了一种新型内核模糊测试工具Healer,它通过动静态结合的关系学习算法,优化系统调用间的依赖理解,显著提升Linux内核的测试覆盖率和效率,尤其在漏洞检测方面表现出色。与Syzkaller和Moonshine相比,Healer在实验中显示出更强的漏洞发现能力。

        现代操作系统是最复杂的计算机程序之一,但在其开发的过程中不可避免地会引入错误或漏洞。并且由于操作系统的广泛应用和重要地位,这些漏洞可能带来严重的威胁并导致损失。因此,挖掘操作系统中隐藏的错误和漏洞对提高系统的整体安全性具有重要意义。模糊测试是目前最流行、最有效的软件测试技术之一,被广泛用于各个主流软件的测试,其中也包括操作系统内核的测试。

        但是,目前的内核模糊测试工具在生成和变异测试用例时,没能充分考虑系统调用之间的关系。本文的作者提出了一种动静态相结合的关系学习算法,捕捉系统调用之间的依赖关系,并通过捕捉到的依赖关系来指导生成更有效的测试用例。作者搭建了基于上述算法的模糊测试工具HEALER,并对其进行了实验。实验结果表明,与目前主流的内核模糊测试工具Syzkaller和Moonshine相比,Healer平均提升28%与21%的分支覆盖率,并且效率提升了2.2倍与1.8倍。实验中,Healer在Linux内核中发现了218个漏洞,其中有33个首次发现的漏洞。

一、研究背景

        操作系统内核的测试用例其实就是系统调用的序列。Syzkaller并不是完全没有考虑系统调用之间的影响,它利用一张系统调用选择表来记录一个系统调用在另一个系统调用之前被调用的概率,以确定要测试的系统调用的顺序。虽然这个表体现了系统调用之间的资源依赖关系,但选择表并不能显示出系统调用之间的影响关系。而且,系统调用的组合的空间巨大,并且其中大多数组合是无效的或是与别的组合等价,需要采取有效的方法来减少搜索空间并增加生成有效测试用例的概率。

        为此,作者提出了新的内核模糊测试工具Healer。Healer通过关系学习算法来处理测试用例,推断用例中的系统调用之间是否存在影响关系,然后将学习到的关系存储在关系表中。关系表会在模糊测试的过程中被逐步细化,用于指导测试用例的生成和变异,最终使得测试用例中的每个系统调用都能够深入到内核的深层逻辑。

最低0.47元/天 解锁文章
ClarkC.
关注
系统调用捕获和分析—使用LKM方法添加系统调用
H4ppyD0g的博客
06-13 612
本文为毕业设计过程中学习相关知识、动手实践记录下来的完整笔记,通过阅读本系列文章,您可以从零基础了解系统调用的底层原理并对系统调用进行拦截。由于本人能力有限,文章中可能会出现部分错误信息,如有错误欢迎指正。另外,本系列所有内容仅作为个人学习研究的笔记,转载请标明出处。感谢您的关注!这也是作者极力推荐的一个系列文章!完整系列文章列表 系统调用捕获和分析—通过ptrace获取系统调用信息 系统调用捕获和分析—通过strace获取系统调用信息 系统调用捕获和分析—必备的系统安全的知识点LKM(Load Kerne
HEALER: Relation Learning Guided Kernel Fuzzing代码复现
wu2tian的博客
07-19 1312
通过 查看更多选项。与 Syzkaller 不同,Healer 不使用经验选择表,而是通过动态删除最小化呼叫序列中的调用并观察覆盖率变化来检测系统调用之间的关系,并使用影响关系来指导调用序列的生成和突变。与 Syzkaller 类似,Healer 使用 Syzlang 描述提供的系统调用信息来生成系统调用序列,以确认参数结构约束和部分语义约束,并通过持续执行生成的调用序列来发现内核错误,从而导致内核崩溃。最后,执行以下命令开始模糊测试,其中指定磁盘映像的路径,指定内核映像的路径,指定 ssh 键的路径。
linux kernel fuzzing test - 概述
weixin_41028621的博客
11-11 898
了解Fuzzing 1.Introduction   Fuzz本意是“羽毛、细小的毛发、使模糊、变得模糊”,后来用在软件测试领域,中文一般指“模糊测试”,英文有的叫“Fuzzing”,有的叫“Fuzz Testing”。本文用fuzzing表示模糊测试。   Fuzzing技术可以追溯到1950年,当时计算机的数据主要保存在打孔卡片上,计算机程序读取这些卡片的数据进行计算和输出。如果碰到一些垃圾卡片或一些废弃不适配的卡片,对应的计算机程序就可能产生错误和异常甚至崩溃,这样,Bug就产生了。所以,Fuzz.
KernelGPT: LLM for Kernel Fuzzing
qq_44370676的博客
01-23 2525
一个基于LLM生成系统调用规约以增强kernel fuzzing的方法
healer:Syzkaller启发的内核模糊器
04-23
注意:Healer仍处于早期阶段,并且正在经历积极的重构。 这是治疗者的原型,请向分支查询当前进展 治愈者 Healer是受启发的内核。 作为系统调用模糊器,其基本工作流程是生成系统调用序列,执行调用,收集和分析反馈以及监视崩溃。 修复器与传统的模糊器之间的区别在于,修复器了解类型,参数的语义约束以及不同系统调用之间的关系,从而使修复器能够生成高质量的测试用例并更有效地进行模糊测试。 修复器的核心组件是: FOTS,一种面向模糊测试的界面描述语言。 核心算法,包括关系分析,调用序列生成,翻译... 执行器,支持jit执行, direct执行功能正在运行 相关工具,例如记者,翻译,执行... Fuzzer,建立在顶级核心和FOT之上。 安装 目前,愈疗者只打算模糊Linux。 因此,以下指南仅适用于linux。 安装Rust 除某些ffi库外,Healer是用纯Rust编写的。
内核模糊测试工具Healer的安装
Yuhan2001的优快云博客
12-05 1971
sosp21论文《HEALERRelation Learning Guided Kernel Fuzzing》中的工具
【论文分享MOCK: Optimizing Kernel Fuzzing Mutation with Context-aware Dependency】
最新发布
qq_35763649的博客
09-22 918
模糊测试论文阅读笔记分享:MOCK: Optimizing Kernel Fuzzing Mutation with Context-aware Dependency
“AI+Security”系列第4期(二):LLM辅助的模糊测试增强技术
m0_73736695的博客
12-27 1161
近日,“AI+Security” 系列第 4 期线下活动于北京成功举办,聚焦 “洞” 见未来:AI 驱动的漏洞挖掘新范式,汇聚了安全领域的众多专家。水木羽林技术专家张强博士以“LLM辅助的模糊测试增强技术”为题,详细阐述了如何利用大语言模型赋能操作系统内核模糊测试以及数据库模糊测试,为参会者带来了关于 AI 技术与漏洞挖掘相结合的全新思路和方法,推动了行业内对于这一新兴技术趋势的深入理解与交流,对推动 “AI+Security” 领域的发展具有积极意义。
Healer内核模糊器:Linux系统调用模糊测试新方案
- **healer:Syzkaller启发的内核模糊器** - Healer是借鉴了Syzkaller这一著名的Linux内核模糊器的原理和设计而开发的工具。 - 作为内核模糊器,Healer专注于生成高质量的测试用例,通过类型、参数的语义约束以及...
探索KernelFuzzer:Linux内核安全测试的新利器
gitblog_00079的博客
04-19 814
探索KernelFuzzer:Linux内核安全测试的新利器 去发现同类优质开源项目:https://gitcode.com/ 是一个由MWR Labs开发的开源项目,旨在自动化和优化Linux内核的安全漏洞发现过程。通过深度学习和模糊测试(fuzzing)技术,它能够有效地探测可能隐藏在内核代码中的安全问题。 项目简介 KernelFuzzer的核心是将机器学习与传统的模糊测试相结合,以提高测试...
fuzz测试之syzkaller(linux kernel fuzz)
m0_46097570的博客
08-23 9263
目录一、fuzz二、syzkaller简介三、syzkaller整体架构四、使用syzkaller进行Linux内核漏洞挖掘环境准备构建运行syzkaller 一、fuzz 模糊测试 (fuzz testing, fuzzing)是一种软件测试技术。其核心思想是自动或半自动的生成随机数据输入到一个程序中,并监视程序异常,如崩溃,断言(assertion)失败,以发现可能的程序错误,比如内存泄漏。模糊测试常常用于检测软件或计算机系统的安全漏洞。 进行软件漏洞挖掘时,通常有静态分析(staticanalysis
Fuzzing_模糊测试--强制性安全漏洞发掘
07-05
目录 作者序 译者序 前 言 第一部分 第1章 安全漏洞发掘方法学 1.1 白盒测试 1.1.1 源代码评审 1.1.2 工具和自动化 1.1.3 优点和缺点 1.2 黑盒测试 1.2.1 人工测试 1.2.2 自动测试或模糊测试 1.2.3 优点和缺点 1.3 灰盒测试 1.3.1 二进制审核 1.3.2 自动化的二进制审核 1.3.3 优点和缺点 1.4 小结 1.5 脚注 第2章 什么是模糊测试 2.1 模糊测试的定义 2.2 模糊测试的历史 2.3 模糊测试阶段 2.4 模糊测试的局限性和期望 2.4.1 访问控制缺陷 2.4.2 设计逻辑不良 2.4.3 后门 2.4.4 内存破坏 2.4.5 多阶段安全漏洞 2.5 小结 第3章 模糊测试方法和模糊器类型 3.1 模糊测试方法 3.1.1 预先生成测试用例 3.1.2 随机方法 3.1.3 协议变异人工测试 3.1.4 变异或强制性测试 3.1.5 自动协议生成测试 3.2 模糊器类型 3.2.1 本地模糊器 3.2.2 远程模糊器 3.2.3 内存模糊器 3.2.4 模糊器框架 3.3 小结 第4章 数据表示和分析 4.1 什么是协议 4.2 协议域 4.3 简单文本协议 4.4 二进制协议 4.5 网络协议 4.6 文件格式 4.7 常见的协议元素 4.7.1 名字-值对 4.7.2 块标识符 4.7.3 块长度 4.7.4 校验和 4.8 小结 第5章 有效模糊测试的需求 5.1 可重现性和文档记录 5.2 可重用性 5.3 过程状态和过程深度 5.4 跟踪、代码覆盖和度量 5.5 错误检测 5.6 资源约束 5.7 小结 第二部分 第6章 自动化测试和测试数据生成 6.1 自动化测试的价值 6.2 有用的工具和库 6.2.1ETHEREAL /WIRESHARK 6.2.2LIBDASM 和LIBDISASM 6.2.3LIBNET /LIBNETNT 6.2.4LIBPCAP 6.2.5METRO PACKET LIBRARY 6.2.6PTRACE 6.2.7PYTHON EXTENSIONS 6.3 编程语言的选择 6.4 测试数据生成和模糊启发式 6.4.1 整型值 6.4.2 字符串重复 6.4.3 字段分隔符 6.4.4 格式化字符串 6.4.5 字符翻译 6.4.6 目录遍历 6.5 小结 第7章 环境变量和参数的模糊测试 7.1 本地化模糊测试介绍 7.1.1 命令行参数 7.1.2 环境变量 7.2 本地化模糊测试准则 7.3 寻找目标程序 7.4 本地化模糊测试方法 7.5 枚举环境变量 7.6 自动化的环境变量测试 7.7 检测问题 7.8 小结 第8章 环境变量和参数的模糊测试:自动化 8.1 iFUZZ本地化模糊器的特性 8.2 iFUZZ的开发 8.3 iFUZZ的开发语言 8.4 实例研究 8.5 益处和改进的余地 8.6 小结 第9章 Web应用程序和服务器模糊测试 9.1 什么是Web应用程序模糊测试 9.2 目标应用 9.3 测试方法 9.3.1 建立目标环境 9.3.2 输入 9.4 漏洞 9.5 异常检测 9.6 小结 第10章 Web应用程序和服务器的模糊测试:自动化 10.1 Web应用模糊器 10.2 WebFuzz的特性 10.2.1 请求 10.2.2 模糊变量 10.2.3 响应 10.3 必要的背景知识 10.3.1 识别请求 10.3.2 漏洞检测 10.4 WebFuzz的开发 10.4.1 开发方法 10.4.2 开发语言的选择 10.4.3 设计 10.5 实例研究 10.5.1 目录遍历 10.5.2 溢出 10.5.3 SQL注入 10.5.4 XSS脚本 10.6 益处和改进的余地 10.7 小结 第11章 文件格式模糊测试 11.1 目标应用 11.2 方法 11.2.1 强制性或基于变异的模糊测试 11.2.2 智能强制性或基于生成的模糊测试 11.3 输入 11.4 漏洞 11.4.1 拒绝服务 11.4.2 整数处理问题 11.4.3 简单的栈和堆溢出 11.4.4 逻辑错误 11.4.5 格式化字符串 11.4.6 竞争条件 11.5 漏洞检测 11.6 小结 第12章 文件格式模糊测试:UNIX平台上的自动化测试 12.1 NOTSPIKEFILE和SPIKEFILE 12.2 开发方法 12.2.1 异常检测引擎 12.2.2 异常报告(异常检测) 12.2.3 核心模糊测试引擎 12.3 有意义的代码片段 12.3.1 通常感兴趣的UNIX信号 12.3.2 不太感兴趣的UNIX信号 12.4 僵死进程 12.5 使用的注意事项 12.5.1 ADOBE ACROBAT 12.5.2 REALNETWORKS REALPLAYRE 12.6 实例研究:REALPLAYER REALPIX格式化字符串漏洞 12.7 语言 12.8 小结 第13章 文件格式模糊测试:Windows平台上的自动化测试 13.1 Windows文件格式漏洞 13.2 FileFuzz的特性 13.2.1 创建文件 13.2.2 应用程序执行 13.2.3 异常检测 13.2.4 保存的审核 13.3 必要的背景知识 13.4 FileFuzz的开发 13.4.1 开发方法 13.4.2 开发语言的选择 13.4.3 设计 13.5 实例研究 13.6益处和改进的余地 13.7 小结 第14章 网络协议模糊测试 14.1 什么是网络协议模糊测试 14.2 目标应用 14.2.1APPLEGATE 14.2.2 网络层 14.2.3 传输层 14.2.4 会话层 14.2.5 表示层 14.2.6 应用层 14.3 测试方法 14.3.1强制性或基于变异的模糊测试 14.3.2 智能强制性模糊测试和基于生成的模糊测试 14.3.3 修改的客户端变异模糊测试 14.4 错误检测 14.4.1 人工方法(基于调试器) 14.4.2 自动化方法(基于代理) 14.4.3 其它方法 14.5 小结 第15章 网络协议模糊测试:UNIX平台上的自动化测试 15.1 使用SPIKE进行模糊测试 15.1.1 选择测试目标 15.1.2 协议逆向工程 15.2 SPIKE 101 15.2.1 模糊测试引擎 15.2.2 通用的基于行的TCP模糊器 15.3 基于块的协议建模 15.4 SPIKE的额外特性 15.4.1 特定于协议的模糊器 15.4.2 特定于协议的模糊测试脚本 15.4.3 通用的基于脚本的模糊器 15.5 编写SPIKE NMAP模糊器脚本 15.6 小结 第16章 网络协议模糊测试:Windows平台上的自动化测试 16.1 ProtoFuzz的特性 16.1.1 包结构 16.1.2 捕获数据 16.1.3 解析数据 16.1.4 模糊变量 16.1.5 发送数据 16.2 必要的背景知识 16.2.1 错误检测 16.2.2 协议驱动程序 16.3 ProtoFuzz的开发 16.3.1 开发语言的选择 16.3.2 包捕获库 16.3.3 设计 16.4 实例研究 16.5 益处和改进的余地 16.6 小结 第17章 Web浏览器模糊测试 17.1 什么是Web浏览器模糊测试 17.2 目标 17.3 方法 17.3.1 测试方法 17.3.2 输入 17.4 漏洞 17.5 错误检测 17.6 小结 第18章 Web浏览器的模糊测试:自动化 18.1 组件对象模型的背景知识 18.1.1 在Nutshell中的发展历史 18.1.2 对象和接口 18.1.3 ActiveX 18.2 模糊器的开发 18.2.1 枚举可加载的ActiveX控件 18.2.2 属性,方法,参数和类型 18.2.3 模糊测试和监视 18.3 小结 第19章 内存数据的模糊测试 19.1 内存数据模糊测试的概念及实施该测试的原因 19.2 必需的背景知识 19.3 究竟什么是内存数据模糊测试 19.4 目标 19.5 方法:变异循环插入 19.6 方法:快照恢复变异 19.7 测试速度和处理深度 19.8 错误检测 19.9 小结 第20章 内存数据的模糊测试:自动化 20.1 所需要的特性集 20.2 开发语言的选择 20.3 Windows调试API 20.4 将其整合在一起 20.4.1如何实现在特定点将"钩子"植入目标进程的需求 20.4.2如何来处理进程快照和恢复 20.4.3如何来选择植入钩子的点 20.4.4如何对目标内存空间进行定位和变异 20.5你的新的最好的朋友PYDBG 20.6 一个构想的示例 20.7 小结 第三部分 第21章 模糊测试框架 21.1 模糊测试框架的概念 21.2 现有框架 21.2.1 ANTIPARSER 21.2.2 DFUZ 21.2.3 SPIKE 21.2.4 PEACH 21.2.5 通用模糊器(General Purpose Fuzzer) 21.2.6 AUTODAF? 21.3 定制模糊器的实例研究:SHOCKWAVE FLASH 21.3.1 SWF文件的建模 21.3.2 生成有效的数据 21.3.3 对环境进行模糊测试 21.3.4 测试方法 21.4模糊测试框架SULLEY 21.4.1 SULLEY目录结构 21.4.2 数据表示 21.4.3 会话 21.4.4 21.4.5 一个完整的实例分析 21.5 小结 第22章 自动化协议解析 22.1 模糊测试存在的问题是什么 22.2 启发式技术 22.2.1 代理模糊测试 22.2.2 改进的代理模糊测试 22.2.3 反汇编启发式规则 22.3 生物信息学 22.4 遗传算法 22.5 小结 第23章 模糊器跟踪 23.1 我们究竟想要跟踪什么 23.2 二进制代码可视化和基本块 23.2.1 CFG 23.2.2 CFG示例 23.3 构造一个模糊器跟踪器 23.3.1 刻画目标特征 23.3.2 跟踪 23.3.3 交叉引用 23.4 对一个代码覆盖工具的分析 23.4.1 PSTALKER设计概览 23.4.2 数据源 23.4.3 数据探查 23.4.4 数据捕获 23.4.5局限性 23.4.6 数据存储 23.5 实例研究 23.5.1 测试策略 23.5.2 测试方法 23.6 益处和改进的余地 23.7 小结 第24章 智能故障检测 24.1 基本的错误检测方法 24.2 我们所要搜索的内容 24.3 选择模糊值时的注意事项 24.4 自动化的调试器监视 24.4.1 一个基本的调试器监视器 24.4.2 一个更加高级的调试器监视器 24.5 24.6 动态二进制插装 24.7 小结 第四部分 第25章 汲取的教训 25.1 软件开发生命周期 25.1.1 分析 25.1.2 设计 25.1.3 编码 25.1.4 测试 25.1.5 维护 25.1.6 在SDLC中实现模糊测试 25.2 开发者 25.3 QA研究者 25.4 安全问题研究者 25.5 小结 第26章 展望 26.1 商业工具 26.1.1 安全性测试工具beSTORM 26.1.2 BREAKINGPOINT系统BPS-1000 26.1.3 CODENOMICON 26.1.4 GLEG PROTOVER PROFESSIONAL 26.1.5 安全性测试工具MU-4000 26.1.6 SECURITY INNOVATION HOLODECK 26.2 发现漏洞的混合方法 26.3 集成的测试平台 26.4 小结
syzkaller, syzkaller是一个无监督的,覆盖指导的内核 fuzzer.zip
09-18
syzkaller, syzkaller是一个无监督的,覆盖指导的内核 fuzzer syzkaller-- 内核 fuzzer syzkaller 是一个无监督的覆盖指南内核 fuzzer 。 支持 Linux 内核 fuzzing,akaros 。freebsd 。fuchsia 。netbsd 和 window
推荐文章:探索Linux内核的安全边界 —— kernel-fuzzing开源项目深度剖析
gitblog_00875的博客
09-11 716
推荐文章:探索Linux内核的安全边界 —— kernel-fuzzing开源项目深度剖析 项目介绍 kernel-fuzzing,一个专为Linux内核设计的模糊测试工具库,旨在通过智能化的策略挖掘内核中的潜在漏洞。每个独立的fuzzer针对内核的不同子系统,能够将微小的二进制“测试案例”转化为一系列系统调用和参数,进而触发内核中的复杂行为路径,从而发现不易被常规方法检测到的问题。 项目技术分...
探索未来:Healer——新一代内核模糊测试工具
gitblog_00008的博客
05-26 499
探索未来:Healer——新一代内核模糊测试工具 项目介绍 Healer 是一个灵感来源于 Syzkaller 的内核模糊测试框架,由 Rust 语言编写,旨在发现操作系统内核中的漏洞和不稳定行为。与 Syzkaller 类似,它利用 Syzlang 提供的系统调用描述,生成符合参数结构约束和部分语义约束的系统调用序列,并通过持续执行这些序列以引发内核崩溃,从而检测潜在问题。 但是 Healer ...
【亲测免费】 Healer:新一代内核模糊测试工具
gitblog_01135的博客
08-28 553
Healer:新一代内核模糊测试工具 项目介绍 Healer 是一款受 Syzkaller 启发的内核模糊测试工具。与 Syzkaller 类似,Healer 利用 Syzlang 提供的系统调用信息生成符合参数结构约束和部分语义约束的系统调用序列,通过不断执行这些序列来发现内核漏洞。然而,Healer 通过动态移除调用序列中的调用并观察覆盖率变化来检测系统调用之间的影响关系,以此指导调用序列的生...
进化内核模糊测试
不急不躁
07-10 3975
自从 2014 年开始的高性能 tracing 和 fuzzing 2014 - High Performance Fuzzing 样本选择、Engine 设计、AFL-DYNINST、Windows fork() 2015 - Go Speed Tracer Guided Fuzzing、二进制翻译、硬件 Tracing 2016 - Harnessing Intel Processor...
Fuzzing技术总结(Brief Surveys on Fuzz Testing)- wcventure
热门推荐
wcventure的博客
08-26 3万+
Fuzzing survey Static analysis Dynamic analysis Symbolic execution Fuzzing White box fuzzing Grey box fuzzing Black box fuzzing Generation-based Fuzzing Mutation-based Fuzzing Fuzzing技术的对比 F...
系统调用、API之间的关系(图)
changqiang08的专栏
06-28 6524
1.为什么用户程序不能直接访问系统内核模式提供的服务?      在linux中,将程序的运行空间分为内核空间与用户空间(内核态和用户态),在逻辑上它们之间是相互隔离的,因此用户程序不能访问内核数据,也无法使用内核函数。当用户进程必须访问内核或使用某个内核函数时,就得使用系统调用(System Call)。在Linux中,系统调用是用户空间访问内核空间的唯一途径。   2.什么是系统
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值