论文摘要
随着智能手机复杂性的提高和其功能的日益多样性,智能手机存在越来越多的安全问题。本文主要针对智能手机平台研究漏洞挖掘技术,主要工作包括以下几个方面:1.研究分析了漏洞挖掘技术的基本原理,主要包括漏洞挖掘的技术模型和主要的漏洞挖掘方法。2.分析了蓝牙OBEX协议,利用Fuzzing技术,实现了对蓝牙OBEX协议的自动化漏洞挖掘。3.分析了手机浏览器HTTP协议,利用Fuzzing技术,实现了对手机浏览器的自动化漏洞挖掘。4.分析了在挖掘协议格式解析漏洞存在的明显缺陷:协议格式相关性较强,重复性工作多,效率较低,从而提出了一种基于协议屏蔽的漏洞挖掘技术模型。Fuzzing是一种自动化的漏洞挖掘技术,作者利用自主设计的OBEX-Fuzzer、HTTP-Fuzzer工具,对几款智能手机Nokia N73、Nokia N70、dopod818进行了安全漏洞测试,发现了它们存在的多个安全漏洞。
论文目录
摘要Abstract第一章 引言1.1 智能手机漏洞研究的发展和现状1.2 我的研究内容1.3 课题支持1.4 论文章节安排第二章 漏洞挖掘技术基本原理2.1 漏洞挖掘技术模型2.2 静态分析技术2.2.1 有向图分析2.2.2 污点数据传播分析2.2.3 IDC 脚本分析2.2.4 整数限制分析2.2.5 小结2.3 动态分析技术2.3.1 格式分析2.3.2 黑盒测试2.3.3 Fuzzing 技术2.3.4 虚拟堆栈分析2.3.5 小结2.4 本章小结第三章 基于 FUZZING 的蓝牙 OBEX 安全漏洞挖掘技术3.1 OBEX 协议分析3.1.1 OBEX 对象模型3.1.2 OBEX 会话模型3.1.3 OBEX 请求/响应数据包格式3.1.4 小结3.2 OBEX 已公布漏洞统计分析3.3 OBEX-Fuzzer 工具的设计与实现3.3.1 脆弱点的定位3.3.2 畸形数据包的构造3.3.3 调试环境的搭建3.3.4 OBEX-Fuzzer 工具设计实现3.4 测试结果3.5 本章小结第四章 手机浏览器安全漏洞挖掘技术4.1 HTTP 协议概述4.2 HTTP 协议分析4.2.1 HTTP 请求信息4.2.2 HTTP 响应信息4.2.3 HTTP 实体信息4.3 HTTP-Fuzzer 工具的设计与实现4.3.1 HTTP-Fuzzer 工具的设计4.3.2 HTTP-Fuzzer 工具的具体实现4.4 实际测试4.4.1 测试环境的搭建4.4.2 测试结果4.5 本章小结第五章 基于协议屏蔽的安全漏洞挖掘技术研究5.1 传统漏洞挖掘技术的缺点5.2 基于协议屏蔽的安全漏洞挖掘技术5.2.1 技术模型5.2.2 脚本集5.2.3 协议样本包5.2.4 测试数据包的构造5.2.5 漏洞信息识别5.3 本章小结第六章 结束语致谢参考文献研究成果
相关论文文献
标签:智能手机论文; 漏洞挖掘论文; 技术论文; 协议屏蔽论文;
