banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành Windows Công cụ phân tích mã nguồn để detect các defect  XML
  [Question]   Công cụ phân tích mã nguồn để detect các defect 08/07/2008 11:01:29 (+0700) | #1 | 140404
HoangTuanSu
Member

[Minus]    0    [Plus]
Joined: 07/07/2008 20:07:35
Messages: 12
Offline
[Profile] [PM]
Anh TQN có đề cập đến các lỗ hổng bảo mật của bkav trong bài vi phạm bản quyền nên em có thắc mắc: ko biết anh làm kiểu gì để detect được khi chỉ dựa vào cái execute chứ không phải là mã nguồn???

Em cũng có nghiên cứu về các phương phát phát hiện defect trong mã nguồn phần mềm (em biết khá rõ về C, C++, C# còn mấy cái khác thì không rành lắm) nhưng gặp khó khăn trong việc tìm kiếm các tool trên windows. Mong mọi người giúp đỡ! Em cảm ơn trước.

Em đã tìm, có tìm được vài tool như FlawFinder, FlockWork hay PREFast nhưng cái thì chạy trên Linux, cái thì trial, cái thì ... chẳng biết chỗ nào mà down smilie(. Mong mọi người giới thiệu cho em nhiều nhiều cái tool (chỉ cần giới thiệu thôi ạ smilie ).

PS: em có nghe một anh nói là bộ Visual Studio có công cụ để phát hiện lỗi nhưng mà em tìm hoài không được. Chẳng biết công cụ đó có tên là gì nữa smilie
[Up] [Print Copy]
  [Question]   Re: Công cụ phân tích mã nguồn để detect các defect 08/07/2008 23:28:02 (+0700) | #2 | 140447
[Avatar]
TheShinichi
Member

[Minus]    0    [Plus]
Joined: 25/03/2005 01:40:31
Messages: 182
Offline
[Profile] [PM]
TQN đã dùng kỹ thuật RE để tìm ra các lỗi của BKAV, một ví dụ trong đó là lỗi overflow.
[Up] [Print Copy]
  [Question]   Re: Công cụ phân tích mã nguồn để detect các defect 09/07/2008 01:47:32 (+0700) | #3 | 140462
HoangTuanSu
Member

[Minus]    0    [Plus]
Joined: 07/07/2008 20:07:35
Messages: 12
Offline
[Profile] [PM]
Thanks bạn smilie

Có lẽ là anh TQN dùng mấy cái tool đại loại như IDA, Olly ... Mình chỉ biết xài Olly (một ít thôi) nên khả năng reverse cũng ko giỏi lắm. Ko biết ngoài mấy cái tool đó ra, còn có tool nào đáp ứng được nhu cầu mình đề cập ko ta? smilie
[Up] [Print Copy]
  [Question]   Re: Công cụ phân tích mã nguồn để detect các defect 09/07/2008 08:47:44 (+0700) | #4 | 140535
[Avatar]
haipt
Member

[Minus]    0    [Plus]
Joined: 20/08/2004 19:48:44
Messages: 165
Location: Hải phòng
Offline
[Profile] [PM] [WWW]
smilie Phân tích mã nguồn liên quan gì đến kỹ thuật RE đâu !!! Ngoài việc thạo ngôn ngữ cần nắm vững rất nhiều thứ tùy vào mã nguồn bạn muốn phân tích như kiến trúc phần mềm,mô hình của APP,UML ...
Công cụ phân tích thì thiếu gì?? Rational Rose, ReSharper , Visual Code to work flow, Code Analyst....
[Up] [Print Copy]
  [Question]   Re: Công cụ phân tích mã nguồn để detect các defect 09/07/2008 10:54:39 (+0700) | #5 | 140556
HoangTuanSu
Member

[Minus]    0    [Plus]
Joined: 07/07/2008 20:07:35
Messages: 12
Offline
[Profile] [PM]
Thanks bạn haipt smilie, nhưng mình thấy như vậy smilie

1 - ReSharper có các chức năng như là


"...error highlighting on the fly, advanced code completion, superior unit testing tools, over 30 advanced code refactorings, multiple handy navigation and search utilities, single-click code formatting and cleanup, automatic code generation and templates ..."
 


chứ nó đâu có chức năng kiểu như scan source code để tìm các lỗ hỗng đâu ta smilie

2 - Rational Rose thì mình chỉ biết là nó có thể reverse từ mô hình uml sang code C hoặc Java gì đó. Chứ chưa biết đến khả năng scan code của nó.

3 - Code Analysis thì bạn nói chung quá, mình đã tìm nhưng ko thấy

Còn theo mình nghĩ thì việc phân tích mã nguồn và kỹ thuật RE có liên quan chứ ta smilieanalysis mã (ví dụ như asm) thì mới biết mà RE chứ nhỉ smilie Ai confirm giùm mình cái ý này với smilie

Nhưng mà trong bài này, ngoài chút tò mò về việc anh TQN phát hiện bằng cách RE thì ý của mình là mong được mọi người giúp đỡ cho vài tool scan source code (chứ không phải scan file thực thi) smilie


[Up] [Print Copy]
  [Question]   Re: Công cụ phân tích mã nguồn để detect các defect 09/07/2008 11:04:05 (+0700) | #6 | 140559
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Tool scan source code tui đang dùng là PC-Lint cho C/C++, FxCop cho .NET và BoundsChecker của Compuware.
[Up] [Print Copy]
  [Question]   Re: Công cụ phân tích mã nguồn để detect các defect 09/07/2008 11:48:24 (+0700) | #7 | 140570
HoangTuanSu
Member

[Minus]    0    [Plus]
Joined: 07/07/2008 20:07:35
Messages: 12
Offline
[Profile] [PM]
Cám ơn anh TQN, em sẽ tìm và xài mấy cái đó.

Em có xem một đoạn clip của Mic demo về cách xài PREFast, và nghĩ là cái add-in này của VS cũng khá hiệu quả ít nhất là với gà như em. Khổ nỗi lại ko biết down ở đâu, mọi người nếu giúp được thì mình xin cảm ơn smilie

http://download.microsoft.com/download/1/1/d/11d5f95b-f75d-4921-8a32-46a14c4d1448/Static%20Analysis-PREfast.wmv

(Quên mất cái link nên đưa luôn link down trực tiếp luôn smilie)

Anh TQN nè smilie, anh có thể list cho em một vài cái tool khác được ko anh smilie Tại em đang làm luận văn về đề tài này, mà tìm tool liên quan vất vả quá (ý em nhiều tool quá, nên mình phân loại nó mất thời gian). Anh đi trước nên chắc hiểu được ý em, mong anh và mọi người giúp đỡ. smilie Em xin cảm ơn smilie
[Up] [Print Copy]
  [Question]   Re: Công cụ phân tích mã nguồn để detect các defect 09/07/2008 12:20:48 (+0700) | #8 | 140575
TQN
Elite Member

[Minus]    0    [Plus]
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
[Profile] [PM] [WWW] [Yahoo!]
Lâu quá không đụng tới code nên quên rồi, giờ gõ code như gà mổ.
PreFAST có trong VS 2005 & 2008 team system.
Thôi cậu chịu khó gú gồ vậy. Giờ tui quên hết tiêu, trả hết, trả dư cho thầy cô rồi.
Tui thử gú gồ với "static code analysis tool security check", ra 1 mớ luôn, đọc mệt nghỉ. Tui thấy vài trang đáng chú ý trong page 1 như sau:

1. http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis : đủ hết, opensource, free/shareware...
2. http://www.developer.com/net/cplus/article.php/3588311 : dùng Code Analyzer (PreFAST) trong VS
3. http://www.thefreecountry.com/programming/debuggers.shtml

À quên, còn nữa, cậu tìm đọc thêm 2 ebook sau:
1. Secure Programming Cookbook For C And C++
2. Writing Secure Code
Hai cuốn sách trên rất hay, cuốn 2 là cuốn của ông Project Manager của Security Team hay gì đó của MS.

Cậu chịu khó đọc tiếp nha !
[Up] [Print Copy]
  [Question]   Re: Công cụ phân tích mã nguồn để detect các defect 09/07/2008 12:58:58 (+0700) | #9 | 140582
HoangTuanSu
Member

[Minus]    0    [Plus]
Joined: 07/07/2008 20:07:35
Messages: 12
Offline
[Profile] [PM]
smilie

Ông anh làm em nhớ tới anh w_hat quá! Thì ra là PREFast nó thuộc cái team suite smilie <-- em cài cái VS thường nên chắc là ko có. Vậy mà cả buổi chiều lục đục mò trong trang của thằng Mic smilie. Thanks anh.

Tạm thời chắc như anh nói quá, coi hai trang anh giới thiệu (còn trang wiki đó thì em sợ lắm rồi smilie ) và mần 2 cuốn đó xem sao smilie

Sẵn đây cũng post lên tên quyển ông thầy mình bảo đọc tham khảo luôn: Secure Program - HOWTO (quyển này nổi tiếng thì phải smilie, lên là tìm được liền à :"> )

PS: vậy là sau khi đọc bài của anh TQN, máy mình lại phải tốn thêm vài GB để cài VS Team Suite rồi smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|