软件漏洞检测与修复

随着操作系统、数据库、编译器和行业应用软件的广泛使用，软件面临严峻的安全威胁，针对软件的攻击事件迅速增加，危害也日益严重。软件漏洞是当前软件安全面临的重要挑战，尽早检测与修复软件漏洞、减少漏洞带来的危害迫在眉睫。目前国内出版的软件安全相关书籍主要侧重经典的软件安全方法原理与技术，强调漏洞原理、漏洞分析技术、恶意代码分析基础、软件安全开发模型和软件安全编码等方面的基础知识，适合作为本科生或研究生教材。目前国内出版的软件漏洞相关书籍主要侧重漏洞分析或攻防技术，鲜少涉及漏洞检测与修复的各种方法和前沿研究内容。因此，现有相关书籍难以满足研究生和科研人员系统、深入了解软件漏洞检测与修复领域的研究成果，并准确把握各研究方向的热点和发展趋势等的学习需求。本书采用从整体框架入手的自顶向下、由表及里、层层细化的叙述方式，对软件漏洞检测与修复相关的主流技术进行了深入剖析和详细讲解。

软件漏洞是当前软件安全面临的最大挑战，如何尽可能早地检测与修复软件漏洞，减少漏洞带来的危害？本书以软件安全为基础，致力于深入探讨软件漏洞检测与修复的方法与技术，涵盖了软件漏洞概述、静态分析、漏洞静态检测、漏洞动态检测、漏洞自动修复、漏洞检测与修复技术在移动终端的应用等内容。通过方法的归纳、技术的对比和实例的详尽分析，本书旨在从理论到实践、从传统到前沿，对软件漏洞检测与修复进行全面而深入的阐述。本书的目标读者是研究生和科研人员，特别是关注软件漏洞检测与修复领域前沿研究和未来发展趋势的研究人员和从业人员，也可作为相关领域教育培训班的教材。

李珍，华中科技大学网络空间安全学院副教授、博士生导师，华中科技大学工学博士，美国德克萨斯大学圣安东尼奥分校博士后。主要研究领域为软件安全和人工智能安全，具体在软件漏洞分析与检测、漏洞验证与修复、软件供应链安全、代码大模型安全等方面开展深入研究。在系统安全和软件工程领域发表论文30余篇，其中包括国际顶级会议/期刊NDSS、ICSE、ASE、TDSC和TOSEM等，获得国家发明专利授权9项，主持国家自然科学基金项目2项、华为公司技术合作项目1项，参与国家重点研发计划、国家自然科学基金通用联合重点项目多项，出版《软件安全》教材 1 部，获得2021年度湖北省科技进步一等奖、2021年度电子学会科技进步二等奖、第十五届全国大学生信息安全竞赛作品赛优秀指导教师奖等，指导学生获得全国大学生信息安全竞赛一等奖、中国研究生网络安全创新大赛二等奖等。

目　录<br /><br /><br /><br />前言<br /><br /><br /><br />第1章<br />　软件漏洞概述<br />1.1　软件安全的概念/　2　<br /><br />1.2　软件漏洞的定义/　3　<br /><br />1.3　软件漏洞的产生原因/　4　<br /><br />1.4　软件漏洞的分类/　6　<br /><br />1.5　软件漏洞的分级/　36　<br /><br />1.6　小结/　39　<br /><br />参考文献/　39　<br /><br />第2章<br />　静态分析<br />2.1　基本分析方法及概念/　42　<br /><br />2.2　污点分析/　66　<br /><br />2.3　符号执行/　81　<br /><br />2.4　小结/　88　<br /><br />参考文献/　89　<br /><br />第3章<br />　漏洞静态检测<br />3.1　基于规则的漏洞检测/　98　<br /><br />3.2　智能漏洞检测/　105　<br /><br />3.3　克隆漏洞检测/　134　<br /><br />3.4　小结/　154　<br /><br />参考文献/　155　<br /><br />第4章<br />　漏洞动态检测<br />4.1　基本原理与分类/　170　<br /><br />4.2　模糊测试/　172　<br /><br />4.3　渗透测试/　191　<br /><br />4.4　差分测试/　201　<br /><br />4.5　蜕变测试/　207　<br /><br />4.6　其他测试技术/　215　<br /><br />4.7　小结/　220　<br /><br />参考文献/　221　<br /><br /><br /><br /><br /><br />第5章<br />　漏洞自动修复<br />5.1　概述/　232　<br /><br />5.2　软件漏洞定位/　236　<br /><br />5.3　漏洞补丁生成/　246　<br /><br />5.4　补丁评估与验证/　269　<br /><br />5.5　软件漏洞数据集/　274　<br /><br />5.6　典型应用/　284　<br /><br />5.7　小结/　288　<br /><br />参考文献/　288　<br /><br />第6章<br />　漏洞检测与修复技术在移动终端的应用<br />6.1　移动终端漏洞概述/　296　<br /><br />6.2　移动终端程序漏洞检测的工程化实践/　307　<br /><br />6.3　移动终端程序漏洞利用的工程化实践/　338　<br /><br />6.4　移动终端程序漏洞缓解和修复的工程化实践/　341　<br /><br />6.5　移动终端漏洞防护新理念/　350　<br /><br />6.6　小结/　359　<br /><br />参考文献/　359