[Question] Công cụ phân tích mã nguồn để detect các defect |
08/07/2008 11:01:29 (+0700) | #1 | 140404 |
HoangTuanSu
Member
|
0 |
|
|
Joined: 07/07/2008 20:07:35
Messages: 12
Offline
|
|
Anh TQN có đề cập đến các lỗ hổng bảo mật của bkav trong bài vi phạm bản quyền nên em có thắc mắc: ko biết anh làm kiểu gì để detect được khi chỉ dựa vào cái execute chứ không phải là mã nguồn???
Em cũng có nghiên cứu về các phương phát phát hiện defect trong mã nguồn phần mềm (em biết khá rõ về C, C++, C# còn mấy cái khác thì không rành lắm) nhưng gặp khó khăn trong việc tìm kiếm các tool trên windows. Mong mọi người giúp đỡ! Em cảm ơn trước.
Em đã tìm, có tìm được vài tool như FlawFinder, FlockWork hay PREFast nhưng cái thì chạy trên Linux, cái thì trial, cái thì ... chẳng biết chỗ nào mà down (. Mong mọi người giới thiệu cho em nhiều nhiều cái tool (chỉ cần giới thiệu thôi ạ ).
PS: em có nghe một anh nói là bộ Visual Studio có công cụ để phát hiện lỗi nhưng mà em tìm hoài không được. Chẳng biết công cụ đó có tên là gì nữa |
|
|
|
|
[Question] Re: Công cụ phân tích mã nguồn để detect các defect |
08/07/2008 23:28:02 (+0700) | #2 | 140447 |
|
TheShinichi
Member
|
0 |
|
|
Joined: 25/03/2005 01:40:31
Messages: 182
Offline
|
|
TQN đã dùng kỹ thuật RE để tìm ra các lỗi của BKAV, một ví dụ trong đó là lỗi overflow. |
|
|
|
|
[Question] Re: Công cụ phân tích mã nguồn để detect các defect |
09/07/2008 01:47:32 (+0700) | #3 | 140462 |
HoangTuanSu
Member
|
0 |
|
|
Joined: 07/07/2008 20:07:35
Messages: 12
Offline
|
|
Thanks bạn
Có lẽ là anh TQN dùng mấy cái tool đại loại như IDA, Olly ... Mình chỉ biết xài Olly (một ít thôi) nên khả năng reverse cũng ko giỏi lắm. Ko biết ngoài mấy cái tool đó ra, còn có tool nào đáp ứng được nhu cầu mình đề cập ko ta? |
|
|
|
|
[Question] Re: Công cụ phân tích mã nguồn để detect các defect |
09/07/2008 08:47:44 (+0700) | #4 | 140535 |
|
haipt
Member
|
0 |
|
|
Joined: 20/08/2004 19:48:44
Messages: 165
Location: Hải phòng
Offline
|
|
Phân tích mã nguồn liên quan gì đến kỹ thuật RE đâu !!! Ngoài việc thạo ngôn ngữ cần nắm vững rất nhiều thứ tùy vào mã nguồn bạn muốn phân tích như kiến trúc phần mềm,mô hình của APP,UML ...
Công cụ phân tích thì thiếu gì?? Rational Rose, ReSharper , Visual Code to work flow, Code Analyst.... |
|
|
|
|
[Question] Re: Công cụ phân tích mã nguồn để detect các defect |
09/07/2008 10:54:39 (+0700) | #5 | 140556 |
HoangTuanSu
Member
|
0 |
|
|
Joined: 07/07/2008 20:07:35
Messages: 12
Offline
|
|
Thanks bạn haipt , nhưng mình thấy như vậy
1 - ReSharper có các chức năng như là
"...error highlighting on the fly, advanced code completion, superior unit testing tools, over 30 advanced code refactorings, multiple handy navigation and search utilities, single-click code formatting and cleanup, automatic code generation and templates ..."
chứ nó đâu có chức năng kiểu như scan source code để tìm các lỗ hỗng đâu ta
2 - Rational Rose thì mình chỉ biết là nó có thể reverse từ mô hình uml sang code C hoặc Java gì đó. Chứ chưa biết đến khả năng scan code của nó.
3 - Code Analysis thì bạn nói chung quá, mình đã tìm nhưng ko thấy
Còn theo mình nghĩ thì việc phân tích mã nguồn và kỹ thuật RE có liên quan chứ ta Có analysis mã (ví dụ như asm) thì mới biết mà RE chứ nhỉ Ai confirm giùm mình cái ý này với
Nhưng mà trong bài này, ngoài chút tò mò về việc anh TQN phát hiện bằng cách RE thì ý của mình là mong được mọi người giúp đỡ cho vài tool scan source code (chứ không phải scan file thực thi)
|
|
|
|
|
[Question] Re: Công cụ phân tích mã nguồn để detect các defect |
09/07/2008 11:04:05 (+0700) | #6 | 140559 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Tool scan source code tui đang dùng là PC-Lint cho C/C++, FxCop cho .NET và BoundsChecker của Compuware. |
|
|
|
|
[Question] Re: Công cụ phân tích mã nguồn để detect các defect |
09/07/2008 11:48:24 (+0700) | #7 | 140570 |
HoangTuanSu
Member
|
0 |
|
|
Joined: 07/07/2008 20:07:35
Messages: 12
Offline
|
|
Cám ơn anh TQN, em sẽ tìm và xài mấy cái đó.
Em có xem một đoạn clip của Mic demo về cách xài PREFast, và nghĩ là cái add-in này của VS cũng khá hiệu quả ít nhất là với gà như em. Khổ nỗi lại ko biết down ở đâu, mọi người nếu giúp được thì mình xin cảm ơn
http://download.microsoft.com/download/1/1/d/11d5f95b-f75d-4921-8a32-46a14c4d1448/Static%20Analysis-PREfast.wmv
(Quên mất cái link nên đưa luôn link down trực tiếp luôn )
Anh TQN nè , anh có thể list cho em một vài cái tool khác được ko anh Tại em đang làm luận văn về đề tài này, mà tìm tool liên quan vất vả quá (ý em nhiều tool quá, nên mình phân loại nó mất thời gian). Anh đi trước nên chắc hiểu được ý em, mong anh và mọi người giúp đỡ. Em xin cảm ơn |
|
|
|
|
[Question] Re: Công cụ phân tích mã nguồn để detect các defect |
09/07/2008 12:20:48 (+0700) | #8 | 140575 |
TQN
Elite Member
|
0 |
|
|
Joined: 29/06/2006 22:28:01
Messages: 888
Location: Biết làm chi ?
Offline
|
|
Lâu quá không đụng tới code nên quên rồi, giờ gõ code như gà mổ.
PreFAST có trong VS 2005 & 2008 team system.
Thôi cậu chịu khó gú gồ vậy. Giờ tui quên hết tiêu, trả hết, trả dư cho thầy cô rồi.
Tui thử gú gồ với "static code analysis tool security check", ra 1 mớ luôn, đọc mệt nghỉ. Tui thấy vài trang đáng chú ý trong page 1 như sau:
1. http://en.wikipedia.org/wiki/List_of_tools_for_static_code_analysis : đủ hết, opensource, free/shareware...
2. http://www.developer.com/net/cplus/article.php/3588311 : dùng Code Analyzer (PreFAST) trong VS
3. http://www.thefreecountry.com/programming/debuggers.shtml
À quên, còn nữa, cậu tìm đọc thêm 2 ebook sau:
1. Secure Programming Cookbook For C And C++
2. Writing Secure Code
Hai cuốn sách trên rất hay, cuốn 2 là cuốn của ông Project Manager của Security Team hay gì đó của MS.
Cậu chịu khó đọc tiếp nha ! |
|
|
|
|
[Question] Re: Công cụ phân tích mã nguồn để detect các defect |
09/07/2008 12:58:58 (+0700) | #9 | 140582 |
HoangTuanSu
Member
|
0 |
|
|
Joined: 07/07/2008 20:07:35
Messages: 12
Offline
|
|
Ông anh làm em nhớ tới anh w_hat quá! Thì ra là PREFast nó thuộc cái team suite <-- em cài cái VS thường nên chắc là ko có. Vậy mà cả buổi chiều lục đục mò trong trang của thằng Mic . Thanks anh.
Tạm thời chắc như anh nói quá, coi hai trang anh giới thiệu (còn trang wiki đó thì em sợ lắm rồi ) và mần 2 cuốn đó xem sao
Sẵn đây cũng post lên tên quyển ông thầy mình bảo đọc tham khảo luôn: Secure Program - HOWTO (quyển này nổi tiếng thì phải , lên là tìm được liền à :"> )
PS: vậy là sau khi đọc bài của anh TQN, máy mình lại phải tốn thêm vài GB để cài VS Team Suite rồi |
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|