🤔

FISHFUZZ: Catch Deeper Bugs by Throwing Larger Nets

作者

目前的做法

目前定向灰盒测试的做法是

距离算法 -> 在较大的数据集中由于种子-目标距离被分解成为单个标量以此为指导可能会导致失真
定常优先级 -> 定常优先级可能会导致一直探索某些已经充分探索的区域

作者的做法

新的距离算法 -> 为每个目标设置一个距离度量而不是所有目标的平均
动态目标排序可以自动丢弃目标
队列剔除算法

动态优先级

作者为每个目标设置一个三元组 $(hit\_frequency, reached, triggered)$

$hit\_frequency$ 表示命中次数
$reached$ 表示是否到达目标区域
$triggered$ 表示是否触发crash

Fuzzer优先选择 $hit\_frequency$ 较少的目标进行fuzz

距离算法

因为基本块距离算法针对每个目标都进行计算的话会导致计算开销过大所以作者选用的计算方法是计算目标和函数之间的距离。

作者首先测算所有函数之间的静态距离而后保存成静态距离图

作者为每个函数对 $(f_i,f)$ 分配了一个权重 $weight$

$weight$ 表示种子从入口函数 $f_i$ 到被调用函数 $f$ 经过的条件边的最小数量
条件边的最小数量由函数 $dbb(m_a, m_b)$ 计算即基本块 $m_a$ 到基本块 $m_b$ 的距离

$weight(f_i, f) = \begin{cases} \min dbb(m,m_f) \quad if\exist m_f\in f_i \\ \infty \quad\quad\quad\quad\quad\quad\quad otherwise \end{cases}$

其中基本块 $m$ 是函数 $f_i$ 的起始基本块基本块 $m_f$ 是函数 $f_i$ 中调用函数 $f$ 的基本块如果 $f_i$ 调用了 $f$ 则权重 $weight$ 为基本块 $m$ 和基本块 $m_f$ 之间的最小距离否则为无穷

两个函数之间的距离的定义如下其中 $sp(f_a, f_b)$ 是使用Dijikstra算法的 $f_a$ 和 $f_b$ 之间的最短距离

$dff(f_a, f_b) = \sum_{f_i \in sp(f_a,f_b)} weight(f_i, f_{i+1})$

种子到函数 $f$ 之间距离的定义如下

$dsf(s,f) = \begin{cases} min_{f_s \in \xi(s) }dff(f_s, f) \quad if\quad f\notin \xi(s) \\ 0 \quad\quad\quad\quad\quad\quad\quad\quad\quad otherwise\end{cases}$

Inter-function Exploration Phase (函数间探索阶段)

在这个阶段，FISHFUZZ选择种子来最大化包含未触发目标的已达到的功能。该阶段的剔除算法如算法1所示。具体来说，给定一个种子队列和一组来自目标程序的函数，FISHFUZZ为每个包含目标的未探索函数设置最接近的种子的preferred = 1(第6行)。在将受青睐的种子提交给程序后，FISHFUZZ更新已探索函数列表并重复该过程。getClosestSeedToFun通过种子函数距离(§3.2)找到最接近函数f的种子s。如果多个种子与f的距离相等，我们会选择执行时间最短的那个。

Exploitation Phase (利用阶段)

Q1: 作者全文没有提到target是如何注入进去的?

作者通过SanitizerCoveragePCGRARD.so 针对源代码的bc进行插桩然后将所有插桩位置记录下来作为target

缺点

直接使用Sanitizer的标签作为target 显然缺少漏洞导向的指向性
没有指标显示是否覆盖到target

目录