Форум программистов, компьютерный форум CyberForum.ru

С++ для начинающих

Войти
Регистрация
Восстановить пароль
 
 
Рейтинг: Рейтинг темы: голосов - 30, средняя оценка - 4.77
.::.DIMA.::.
142 / 142 / 4
Регистрация: 26.10.2008
Сообщений: 782
#1

Поиск недекларированных возможностей - C++

15.07.2011, 14:31. Просмотров 3846. Ответов 22
Метки нет (Все метки)

Например, есть исходный код какой-либо программы, написанной на C++. Нужно определить, что программа не делает каких-нибудь действий, не описанных в документации, например, не отсылает пароли куда-нибудь или что-нибудь другое.

Поиск таких возможностей нужно автоматизировать, т.к. код программы может быть очень большим.

Делается это или статически: когда анализируется исходный код программы, или динамически: когда программа выполняется, а её действия контролируются.

Есть ли какие-нибудь проекты, выполняющие такой поиск (жедательно с открытым исходным кодом)?
Лучшие ответы (1)
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
15.07.2011, 14:31     Поиск недекларированных возможностей
Посмотрите здесь:

Классы возможностей(Mixin классы) C++
C++ Поиск. Последовательный поиск
C++ Поиск. Бинарный поиск
C++ Алгоритмы анализа программных кодов на выявление недекларированных возможностей
Поиск циклов в графе. Поиск центра взвешенного графа C++
C++ Поиск символа не могу переделать под поиск сочетания символов
Поиск пикселя и поиск изображения на экране C++
После регистрации реклама в сообщениях будет скрыта и будут доступны все возможности форума.
fasked
Эксперт C++
4932 / 2512 / 180
Регистрация: 07.10.2009
Сообщений: 4,306
Записей в блоге: 1
17.07.2011, 15:46     Поиск недекларированных возможностей #21
Цитата Сообщение от ValeryLaptev Посмотреть сообщение
Вот такой же анализ кода, только для своих нужд, нужно и вам проделать.
Так вот я про то и говорю, что Карпов проводил анализ кода. Здесь анализом кода не обойдешься. Потому что для обнаружения ошибок пользуются некоторыми шаблонами (назовем "это" так ). То есть, например, сравнение беззнакового целого числа с нулем (n > 0) или одинаковый код как в if так и в else, много примеров можно подобрать.
В случае НДВ подобных шаблонов на уровне исходного кода нет (ну как минимум я о таком даже не слышал), просто сложно подобрать пример. Анализатор не может заранее знать, какая функция является декларированной, а какая нет.
.::.DIMA.::.
142 / 142 / 4
Регистрация: 26.10.2008
Сообщений: 782
18.07.2011, 01:09  [ТС]     Поиск недекларированных возможностей #22
Цитата Сообщение от fasked Посмотреть сообщение
В случае НДВ подобных шаблонов на уровне исходного кода нет (ну как минимум я о таком даже не слышал), просто сложно подобрать пример. Анализатор не может заранее знать, какая функция является декларированной, а какая нет.
Существуют же программы, которые ищут такие возможности. Я эти программы пока не использовал, но увидел реузльтаты работы.

fasked, может быть, посоветуете литературу какую-нибудь по этой теме.
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
18.07.2011, 13:02     Поиск недекларированных возможностей
Еще ссылки по теме:

C++ Класс "Вектор", меню для демонстрации его возможностей
Поиск числа в двумерном массиве (бинарный поиск) C++
Книга с описанием возможностей С++1х и/или boost C++
Реализовать поиск заданного файла в древе каталогов и поиск указанной информации в этом файле C++

Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
fasked
Эксперт C++
4932 / 2512 / 180
Регистрация: 07.10.2009
Сообщений: 4,306
Записей в блоге: 1
18.07.2011, 13:02     Поиск недекларированных возможностей #23
Цитата Сообщение от .::.DIMA.::. Посмотреть сообщение
может быть, посоветуете литературу какую-нибудь по этой теме.
Конкретной литературы, к сожалению, подсказать не могу, есть только несколько статей, относящиеся к данной тематике, но опять же не напрямую:
http://www.osp.ru/os/2005/12/380655/
http://www.osp.ru/os/2011/04/13008784/
http://www.npo-echelon.ru/about/articles/code_audit.php

Конечно же не помешает прочитать соответствующий РД ФСТЭК:
http://www.fstec.ru/_docs/doc_3_3_010.htm

По следующей ссылке можно найти открытую энциклопедию уязвимостей:
http://cwe.mitre.org/data/slices/2000.html

Каким-то полноценным книгам я и сам был бы рад. Но, кажется, тема информационной безопасности в программном обеспечении еще не настолько раскрыта, да и слишком динамична. С другой стороны это конечно же хорошо. Технологии не стоят на месте

Пара продуктов, которые выполняют автоматический анализ. Лидером считается АИСТ-С (имеет кучу недостатков) http://www.suritel.ru/cgi-bin/view.p...cid=1187156006. А вот об этом продукте я раньше не знал вовсе: http://www.npo-echelon.ru/production/65/4243.

Цены, конечно, дикие Зато сертификаты имеются.
Yandex
Объявления
18.07.2011, 13:02     Поиск недекларированных возможностей
Ответ Создать тему
Опции темы

Текущее время: 04:26. Часовой пояс GMT +3.
КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2017, vBulletin Solutions, Inc.
Рейтинг@Mail.ru