Форум программистов, компьютерный форум CyberForum.ru

С++ для начинающих

Войти
Регистрация
Восстановить пароль
 
 
Рейтинг: Рейтинг темы: голосов - 30, средняя оценка - 4.77
.::.DIMA.::.
143 / 143 / 4
Регистрация: 26.10.2008
Сообщений: 782
#1

Поиск недекларированных возможностей - C++

15.07.2011, 14:31. Просмотров 3917. Ответов 22
Метки нет (Все метки)

Например, есть исходный код какой-либо программы, написанной на C++. Нужно определить, что программа не делает каких-нибудь действий, не описанных в документации, например, не отсылает пароли куда-нибудь или что-нибудь другое.

Поиск таких возможностей нужно автоматизировать, т.к. код программы может быть очень большим.

Делается это или статически: когда анализируется исходный код программы, или динамически: когда программа выполняется, а её действия контролируются.

Есть ли какие-нибудь проекты, выполняющие такой поиск (жедательно с открытым исходным кодом)?
Лучшие ответы (1)
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
15.07.2011, 14:31     Поиск недекларированных возможностей
Посмотрите здесь:

Алгоритмы анализа программных кодов на выявление недекларированных возможностей - C++
Помогите пожалуйсто. Необходим материал (литература, ссылки на исходные тексты анализаторов кодов) по алгоритмам анализа программных кодов...

Книга с описанием возможностей С++1х и/или boost - C++
Есть ли брошюрный сборник с описаниями последних стандартов? Может, случилось так, что про boost даже выпустили книжку-документацию? Если...

Поиск пикселя и поиск изображения на экране - C++
Переписываю код из clickermann для запуска его на C++. Мне нужны две функции которые выполняли бы сканирование экрана и поиск пикселя...

Исследование ПО на отсутствие недекларированных возможностей - Разработка ПО
Подскажите, какие фирмы занимаются исследованием ПО на наличие недекларированных возможностей. Желательно в Омске, но можно и в...

Оценка возможностей - Python
Доброго время суток, у меня такой вопрос. у меня тема дипломной работы создание соц сети, и дали ссылку на джанго, кто нибудь может сказать...

Автокомплит для возможностей C++11 - C++ Qt
Как сделать, чтоб QtCreator поддерживал автокомплит для возможностей C++11 и старше, например std::unordered_set он "не видит".

Расширение возможностей QlineEdit - C++ Qt
Не знал как правильно назвать тему, да и возможно то что я хочу провернуть делается даже не с QLineEdit. В общем к делу :) к Как то в...

После регистрации реклама в сообщениях будет скрыта и будут доступны все возможности форума.
fasked
Эксперт С++
4933 / 2513 / 180
Регистрация: 07.10.2009
Сообщений: 4,311
Записей в блоге: 1
17.07.2011, 15:46     Поиск недекларированных возможностей #21
Цитата Сообщение от ValeryLaptev Посмотреть сообщение
Вот такой же анализ кода, только для своих нужд, нужно и вам проделать.
Так вот я про то и говорю, что Карпов проводил анализ кода. Здесь анализом кода не обойдешься. Потому что для обнаружения ошибок пользуются некоторыми шаблонами (назовем "это" так ). То есть, например, сравнение беззнакового целого числа с нулем (n > 0) или одинаковый код как в if так и в else, много примеров можно подобрать.
В случае НДВ подобных шаблонов на уровне исходного кода нет (ну как минимум я о таком даже не слышал), просто сложно подобрать пример. Анализатор не может заранее знать, какая функция является декларированной, а какая нет.
.::.DIMA.::.
143 / 143 / 4
Регистрация: 26.10.2008
Сообщений: 782
18.07.2011, 01:09  [ТС]     Поиск недекларированных возможностей #22
Цитата Сообщение от fasked Посмотреть сообщение
В случае НДВ подобных шаблонов на уровне исходного кода нет (ну как минимум я о таком даже не слышал), просто сложно подобрать пример. Анализатор не может заранее знать, какая функция является декларированной, а какая нет.
Существуют же программы, которые ищут такие возможности. Я эти программы пока не использовал, но увидел реузльтаты работы.

fasked, может быть, посоветуете литературу какую-нибудь по этой теме.
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
18.07.2011, 13:02     Поиск недекларированных возможностей
Еще ссылки по теме:

Обсуждение возможностей языка - Язык D
В данной теме я предлагаю обсуждать интересные (и не очень) возможности языка D, делиться кодом и рассказывать про ваши программы,...

Клиенты специальных возможностей - Visual C++
Как я понимаю клиенты спец возможностей для объектов- это всякие менеджеры отрисовки, поиска и тп, а не подскажите как называются эти...

Использование возможностей модуля Crt - Pascal ABC
Написать программу, используя всего два цикла: в одном цикле звездочки бегут сразу по верхней и нижней строкам экрана, в другом - сразу по...

Использование графических возможностей Delphi - Delphi
Вычислить n значений функции y=f(x) на отрезке и построить график функции. Вычисленные значения должнывыводиться на форме в компоненте...

Задачка на кривую производственных возможностей. - Экономика
Как известно, из нефти производят бензин. Нефти добывается 100 т. Допустим, из каждого килограмма нефти получается 500 грамм бензина. а)...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
fasked
Эксперт С++
4933 / 2513 / 180
Регистрация: 07.10.2009
Сообщений: 4,311
Записей в блоге: 1
18.07.2011, 13:02     Поиск недекларированных возможностей #23
Цитата Сообщение от .::.DIMA.::. Посмотреть сообщение
может быть, посоветуете литературу какую-нибудь по этой теме.
Конкретной литературы, к сожалению, подсказать не могу, есть только несколько статей, относящиеся к данной тематике, но опять же не напрямую:
http://www.osp.ru/os/2005/12/380655/
http://www.osp.ru/os/2011/04/13008784/
http://www.npo-echelon.ru/about/articles/code_audit.php

Конечно же не помешает прочитать соответствующий РД ФСТЭК:
http://www.fstec.ru/_docs/doc_3_3_010.htm

По следующей ссылке можно найти открытую энциклопедию уязвимостей:
http://cwe.mitre.org/data/slices/2000.html

Каким-то полноценным книгам я и сам был бы рад. Но, кажется, тема информационной безопасности в программном обеспечении еще не настолько раскрыта, да и слишком динамична. С другой стороны это конечно же хорошо. Технологии не стоят на месте

Пара продуктов, которые выполняют автоматический анализ. Лидером считается АИСТ-С (имеет кучу недостатков) http://www.suritel.ru/cgi-bin/view.p...cid=1187156006. А вот об этом продукте я раньше не знал вовсе: http://www.npo-echelon.ru/production/65/4243.

Цены, конечно, дикие Зато сертификаты имеются.
Yandex
Объявления
18.07.2011, 13:02     Поиск недекларированных возможностей
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2017, vBulletin Solutions, Inc.
Рейтинг@Mail.ru