【InForSec2023 年会论坛回顾】黄河清：路径裁剪辅助的定向模糊测试

黄河清博士首先介绍了什么是模糊测试技术。模糊测试技术在工业界被证实为最有效的漏洞挖掘技术之一，存在多个知名的企业级云测试平台，如OSS-Fuzz，OneFuzz等。在学术界也超过200篇模糊测试相关的论文被发表在各个计算机领域顶级会议和期刊上。概括的讲，模糊测试主要自动化的生成测试用例并执行以触发程序中的异常错误，当触发异常后可以根据执行过程中的监控信息直接生成漏洞报告提供给开发者，同时，如果测试用例触发了新的程序状态，例如执行到了新的代码块，那么这个输入将会保留被用于进一步的输入生成，这种反馈机制能够很好的帮助模糊测试对目标程序进行更加彻底的探索。

紧接着黄博介绍了什么是定向模糊测试技术。定向模糊测试技术能够利用特定的反馈信息引导模糊器快速定向到代码中的特定目标，例如具有潜在漏洞的代码，它能够更加高效的检测漏洞，具有丰富的应用场景，如补丁验证，1-Day漏洞POC生成等。

黄博指出，模糊测试的成功核心源于其快速的测试用例生成能力，虽然定向模糊测试已经在学术界取得了巨大进展，但仍然存在不足，即在测试过程中产生了大量无效的测试用例，实验发现，超过95%的测试用例甚至无法达到待测的漏洞触发程序点，而执行这些无效的测试用例占据了将近90%的模糊测试时间。

黄博针对这一问题进行了深入的根因分析，他介绍到这种现象所产生的原因在于无关路径爆炸，即现有的模糊测试工具在选择执行路径时并不考虑该路径是否与目标漏洞是无关的。

同时，黄博也指出想要精确生成满足路径条件测试用例是很难的，求解路径条件面临路径爆炸和约束求解的难题，是无法使用多项式算法求解的。

针对这一难题，黄博提出了自己的想法。他认为当程序执行到一条无关路径之后，后续的执行都是无用的，必不可能触发Bug，因此可以被终止执行。基于这样的想法，黄博提出了路径裁剪辅助的定向模糊测试技术，即利用反向静态分析先推导除到达目标点所需的先决条件，所谓先决条件，就是执行到目标指令的必须条件的过近似集合，这样可以保证，基于先决条件裁剪的路径一定是无法触发漏洞的。

那么现在的问题就转换为了如何精确的推导先决条件，黄博介绍到精确的先决条件可以过滤到更多的无效执行，但是精确的推导路径条件的效率是极低的，这是一个速度和精度的平衡问题。针对这一问题，黄博提出了自己的解决方案：精度优化的整数域抽象解释。黄博介绍到，整数域抽象解释是最高效的程序状态近似手段，并且他们进一步的从两个方面（数据流与控制流）对抽象解释的精度进行了优化。

随后，黄博先介绍了他们在数据流角度的精度优化，即数据流的关系保存。整数域抽象只考虑单变量关系，这是造成其不准确的主要原因之一，对此，黄博他们保留了分析过程中的变量间关系以提高后续分析的精度。

第二种优化策略为基于程序控制流的有界路径分离，已有工作会无条件合并不同路径的分析结果来克服路径爆炸，但分离形式其实可以更有效的保留推导结果的精度，针对此问题，黄博提出有选择的合并不同路径的分析结果来降低精度损失。

在介绍了解决方案的设计思路后，黄博介绍了他们基于LLVM开发的定向模糊测试工具Beacon的实验效果和性能。其能够实现超过现有最好技术11.5倍的漏洞复现速度，裁剪了超过82.94%的无关路径，发现了22个未完整修复的漏洞，但只引入了不超过6%的开销。