【论文精读】| 综述：模糊测试的艺术、科学和工程（上）

• 黑盒模糊测试：这是最基础的测试形式，其中测试者几乎不了解软件的内部工作原理。测试完全基于对软件外在行为的观察，无需访问源代码。通过向软件输入异常或随机数据，测试者观察软件反应，以识别潜在漏洞。该方法简单、直接，能够迅速对软件进行广泛测试，但可能无法探测到更深层的复杂安全问题。

• 白盒模糊测试：与黑盒测试相反，测试者可以完全访问软件的内部逻辑和源代码。通过应用程序分析技术，如静态代码分析和动态执行跟踪，白盒测试能够系统地深入探测软件行为。这种方法能够识别由特定代码路径触发的漏洞，提供更高的测试覆盖率和深入的安全评估，但要求测试者具有较高的专业知识和较大的资源投入。

在实际应用中，模糊测试的工作流程如下：

1. 预处理：

在开始模糊测试流程之前，许多模糊测试工具需要执行一系列预处理步骤。这些步骤主要涉及对目标程序的插桩，目的是去除潜在的冗余配置，优化种子集，并创建能有效触发应用程序的测试样例。此外，预处理阶段还包括为接下来的输入生成（即输入生成阶段）做好准备，建立必要的模型。

程序插桩分为静态和动态两种类型。静态插桩在程序运行前的预处理阶段进行，通常作用于源代码或中间代码，并在编译时完成。这种方式的优势在于，因为处理是在运行前完成的，所以运行时的开销相对较低。如果程序依赖库文件，这些库也需进行插桩，通常是通过使用相同技术重新编译实现的。除了源代码，也有针对二进制代码的静态插桩工具。

相比之下，动态插桩虽然运行时开销更大，但它可以在程序运行时方便地对动态链接库进行插桩。当前，有多种著名的动态插桩工具，如DynInst、DynamoRIO、Pin、Valgrind和QEMU。

模糊测试工具可能支持一种或多种插桩技术。比如，AFL既可以在源代码级别通过修改编译器实现静态插桩，也可以利用QEMU在二进制级别进行动态插桩。在采用动态插桩时，AFL提供两种选项：一是默认情况下只对目标程序的可执行代码进行插桩；二是通过启用AFL_INST_LIBS选项，对目标程序及其所有外部库代码进行插桩。虽然后者能增加代码的覆盖范围，但也可能扩大AFL对外部库函数的测试范围。

1) 执行反馈

灰盒模糊测试工具通常依据执行反馈来优化测试用例。例如，AFL及其衍生工具通过对被测程序中每个分支指令的插桩来计算分支覆盖率。然而，这些工具将分支覆盖信息存储在位向量中，可能导致路径冲突。最近，CollAFL通过引入一种新的路径敏感哈希函数来解决这个问题。同时，LibFuzzer和Syzkaller使用节点覆盖率作为其执行反馈。Honggfuzz则允许用户选择所需的执行反馈类型。

2) 内存中模糊测试

在测试大型程序时，为了降低执行成本，有时只针对程序的特定部分执行模糊测试，避免在每次模糊测试迭代中重新启动进程。例如，对于那些处理输入可能需要几秒钟的复杂应用程序（如GUI程序），一种有效的方法是在GUI初始化完成后为被测试程序创建一个内存快照。在执行新的测试用例之前，先从这个快照恢复内存状态。这种方法同样适用于需要频繁客户端-服务器交互的网络应用，被称为内存中模糊测试。例如，GRR模糊测试工具会在加载任何输入前创建一个快照，以省略不必要的启动步骤。而AFL通过引入名为fork server的技术，来减少每次模糊测试迭代的进程启动成本，虽然这与内存中模糊测试有着相似的目的，但fork server为每个测试迭代创建一个新的进程。

有的模糊测试工具（如AFL）在每次迭代后不会重置被测试程序的状态，而是持续对内存中的特定函数进行模糊测试，这被称为内存中API模糊测试。例如，AFL的“持久模式”允许在不重启进程的情况下，在一个循环中持续执行API模糊测试。在此模式下，AFL不考虑函数在同一执行过程中被多次调用可能产生的副作用。

虽然内存中API模糊测试效率较高，但测试结果的可靠性可能受到影响，因为内存中发现的错误（或崩溃）可能难以复现，原因包括：构建目标函数的有效调用上下文并非总是可行，以及跨多次函数调用可能累积的未捕获副作用。内存中API模糊测试的成功很大程度上依赖于选择合适的入口点函数，而找到合适的函数是一大挑战。

3) 线程调度和条件竞争漏洞

条件竞争漏洞的触发通常很困难，主要是因为它们依赖于偶尔发生的非确定性行为。不过，通过对程序进行插桩以及显式地控制线程调度，研究者可以引发多种非确定性的程序行为，这有助于检测到这类漏洞。研究已经显示，采用随机线程调度的方法同样可以有效地揭露条件竞争漏洞。

在模糊测试过程中，调控模糊算法的行为通过设置一系列配置参数来实现是一种常见做法。特别地，在基于变异的模糊测试中，所使用的种子文件有广泛的选择范围。例如，在对一个接收MP3文件的MP3播放器进行模糊测试时，从无限的有效MP3文件中选择合适的种子文件变成了一个挑战，这就是所谓的种子选择问题。

为了解决这个问题，研究人员开发了多种方法和工具。一个常用的策略是寻找能最大化特定覆盖度量（如节点覆盖率）的最小化种子集合，这个过程被称为计算minset。例如，如果一个配置集合C包括了种子文件s1和s2，它们覆盖了不同的程序地址。如果第三个种子文件s3能够覆盖s1和s2的所有地址，并且执行效率相当，那么仅使用s3进行测试将是更理想的选择，因为它能在更短的时间内测试更多的程序逻辑。这一理论得到了米勒研究的支持，该研究表明，代码覆盖率每提高1%，漏洞发现率就会增加0.92%。此外，这种策略还可以作为测试过程中的一个反馈更新机制，特别适合于那些可以持续添加新种子的模糊测试工具。

在实际应用中，模糊测试工具采用了多种覆盖度量标准。例如，AFL根据分支覆盖率来定义minset，并使用对数计数器来区分不同的分支。而Honggfuzz则通过执行指令数、分支数和独立基本块数来衡量覆盖率，这使得测试器可以将执行时间较长的路径考虑进minset，有助于发现服务拒绝或性能相关的问题。

种子文件的大小对模糊测试的效率有直接影响，其中较小的种子文件能显著降低内存消耗并提高测试的吞吐量。因此，减小种子文件大小的过程，即种子修剪，成为了模糊测试准备阶段的一个重要环节。这个过程可以在模糊测试的预处理阶段、测试循环开始之前，或作为测试过程中的配置更新环节进行。

AFL是一个著名的模糊测试工具，它应用种子修剪技术，通过迭代使用与代码覆盖率相关的工具来修剪种子，确保修剪后的种子保持了相同的覆盖范围。Rebert等研究者的成果进一步证实了种子修剪的有效性，他们发现使用最小尺寸算法选出的小种子，相比随机选取的种子，能更有效地降低唯一错误的发生率。特别是在针对Linux系统调用处理程序的模糊测试中，MoonShine工具对syzkaller进行了扩展，实现了在保持静态分析识别出的调用依赖性的同时减少种子文件的大小。

在直接对目标应用进行模糊测试遇到障碍时，开发专用的驱动程序成为了一个行之有效的策略。这种方法一般在模糊测试的初期阶段手动执行，并且通常仅需完成一次。例如，针对库文件的模糊测试需要一个专门设计的驱动程序来调用库中的函数。同理，为了测试内核，内核模糊测试工具可能通过模糊测试特定的用户级应用程序来间接实现。IoTFuzzer便是使用此策略的一个例证，它通过让驱动程序与相应的智能手机应用通信，实现对物联网设备的模糊测试。

2.调度算法

在模糊测试的领域内，调度是一个决定下一轮模糊测试迭代将采用哪些配置的过程，这些配置的具体内容取决于使用的模糊测试工具。简单的模糊测试工具，比如zzuf，在默认模式下仅使用一个配置，几乎不涉及调度选择。而更复杂的模糊测试工具，如BFF和AFLFast，其成功在很大程度上归功于它们采用的创新调度算法。本文着重讨论针对黑盒和灰盒模糊测试的调度算法；对于涉及更复杂配置的白盒模糊测试调度，可以参阅专门的文献进行深入了解。

调度问题的定义：调度策略旨在利用现有配置信息选择最有可能产生优秀结果的配置，这可能是指发现更多的独特漏洞或达到更全面的输入集合覆盖。每个调度策略都需要在探索（获取更多信息以指导将来的决策）和利用（集中使用当前最有效的配置进行测试）之间寻找一个平衡点。Woo及其团队将这种平衡的追求称为模糊配置调度问题（Fuzz Configuration Scheduling, FCS）。

优化黑盒模糊测试侧重于分析测试结果，如发现的崩溃和错误数量，及测试耗时。Householder和Foote首次在CERT BFF的黑盒变异模糊测试中研究了使用这类数据进行调度的方法。他们提出了一种基于高成功率（错误数与运行次数的比例）配置的优先选择策略。通过实证研究，他们发现将BFF中的均匀采样策略替换为先进的调度算法，使得在对ffmpeg进行的500万次测试中独特崩溃数增加了85%，证明了高级调度算法的有效性。

Woo及其团队进一步发展和优化了这一方法。他们首先把黑盒变异模糊测试的数学模型从Bernoulli试验序列改为带未知权重的加权优惠券收集问题（WCCP/UW），允许在成功概率下降时仍保持概率的上限，而非假设每个配置有固定的成功率。接着，他们采用多臂老虎机（MAB）问题算法——一种流行的决策科学方法，用于平衡探索与利用——设计出更精细处理未见概率下降配置的MAB算法。他们还发现，与其他因素相比，运行速度更快的配置能更快地发现独特错误或降低成功概率的上限，因此对成功概率按时间消耗进行了归一化，偏好速度更快的配置。最终，他们将BFF的选择策略从固定模糊迭代次数调整为固定时间量，避免在低效配置上浪费过多时间。这些优化的结合，使得在相同的测试时间内，发现的独特错误数量提高了1.5倍，标志着与现有BFF实施相比的显著改进。

灰盒模糊测试通过利用包括代码覆盖率在内的丰富信息来优化调度。在这一领域，AFL通过进化算法（EA）来领先。EA维护着一个配置种群及其适应度值，并通过基因操作如变异和重组来产生可能更优适的后代配置。

EA框架的调度算法核心包括三个主要方面：(i) 确定配置的适应度，(ii) 配置选择方法，(iii) 选中配置的应用方式。AFL认为那些涉及控制流边缘、且输入既快速又小的配置是最适合的（称为“favorite”），并在配置队列中循环选用这些适应配置进行模糊处理，偏好于快速配置的策略并不局限于灰盒环境。

Böhme等研究者对AFL进行了重大改进，创造了AFLFast。AFLFast引入了两个新标准来确定“favorite”路径：偏好选择被遍历次数较少的控制流边缘（以增强探索）和在条件相同的情况下选择执行次数较少的路径（以探索更罕见的路径）。此外，AFLFast通过优先级来改进配置选择机制，优先选择选择次数少或路径执行次数少的配置。AFLFast还采用了一种功率调度策略，显著提升了模糊处理的效率，在24小时的测试中找到了AFL未发现的错误，并在其他错误发现上实现了7倍的速度提升。

AFLGo、Hawkeye、FairFuzz和QTEP分别在特定方面进一步扩展和优化了AFLFast，包括针对特定程序位置进行优先级调整、利用静态分析改善种子调度和输入生成、使用变异掩码引导执行触及罕见分支，以及基于静态分析来确定二进制文件中问题区域的策略。

关于模糊测试测试用例生成策略、测试与评估、测试过程中的分流策略和反馈迭代机制将在[论文精读] 综述：模糊测试的艺术、科学和工程（下）中为大家解析，敬请期待，欢迎关注！