它的的主要目標是在一個單一視圖中給研究人員提供包含了各種函數(shù)交叉引用的相關信息。

對于可以使用Hexrays反編譯器的情況，該工具還可以嘗試排除針對這些函數(shù)的調(diào)用。

注意事項

在運行VulFi之前，請確保已經(jīng)了解了你說要測試的代碼，然后嘗試識別所有的標準函數(shù)（例如strcpy和memcpy等），然后確保它們正確命名。

插件是大小寫不敏感的，因此MEMCPY、Memcpy和memcpy都是可以識別的。

需要注意的是，搜索函數(shù)時需要精確匹配。這意味著or （或任何其他變體）不會被檢測為標準函數(shù)，因此在尋找潛在漏洞時不會被考慮。

除此之外，VulFi將盡最大努力來過濾所有明顯的誤報。

請注意，雖然插件與特定架構(gòu)沒有任何聯(lián)系，但某些處理器不完全支持指定類型，在這種情況下，VulFi 將簡單地將所有交叉引用標記為潛在危險的標準函數(shù)，以便您繼續(xù)進行手動分析. 在這些情況下，您可以從插件的跟蹤功能中受益。

安裝

將vulfi.py、vulfi_prototypes.json和vulfi_rules.json文件放在 IDA 插件文件夾 ( cp vulfi* ) 中。

用法

掃描

要啟動掃描，請從頂部欄菜單中選擇Search>選項。

VulFi這將啟動新的掃描，或者它將讀取存儲在idb/i64文件中的先前結(jié)果。每當您保存數(shù)據(jù)庫時，數(shù)據(jù)都會自動保存。

掃描完成或加載先前的結(jié)果后，將顯示一個包含以下列的視圖：

IssueName - 用作可疑問題的標題。
FunctionName - 函數(shù)的名稱。
FoundIn - 包含可能感興趣的引用的函數(shù)。
地址- 檢測到的呼叫的地址。
狀態(tài)- 審查狀態(tài)，初始Not Checked分配給每個新項目。其他狀態(tài)是False Positive和。這些可以使用給定項目上的右鍵單擊菜單進行設置，并且應該反映給定函數(shù)調(diào)用的手動審查結(jié)果。SuspiciousVulnerable
優(yōu)先級- 嘗試將更有趣的呼叫優(yōu)先于不太有趣的呼叫?？赡艿闹禐镠igh和。優(yōu)先級與文件中的其他規(guī)則一起定義。MediumLowvulfi_rules.json
評論- 給定項目的用戶定義評論。

idb如果/文件內(nèi)沒有數(shù)據(jù)i64或用戶決定執(zhí)行新掃描。

該插件將詢問它是否應該使用默認包含的規(guī)則運行掃描，或者是否應該使用自定義規(guī)則文件。

請注意，使用現(xiàn)有數(shù)據(jù)運行新掃描不會覆蓋先前找到的由規(guī)則標識的與先前存儲結(jié)果同名的項目。

因此，再次運行掃描不會刪除現(xiàn)有的評論和狀態(tài)更新。

在 VulFi 視圖中的右鍵單擊上下文菜單中，您還可以從結(jié)果中刪除項目或刪除所有項目。

請注意，執(zhí)行此操作后，任何評論或狀態(tài)更新都將丟失。

調(diào)查

每當您想檢查檢測到的可能存在漏洞的函數(shù)的實例時，只需雙擊所需行中的任意位置，IDA 就會將您帶到被識別為可能感興趣的內(nèi)存位置。

使用右鍵單擊和選項Set Vulfi Comment，您可以為給定實例輸入注釋（例如，證明狀態(tài)）。

添加更多功能

該插件還允許創(chuàng)建自定義規(guī)則。這些規(guī)則可以在 IDA 接口中定義（適用于單個功能）或作為自定義規(guī)則文件提供（適用于旨在涵蓋多個功能的規(guī)則）。

界面內(nèi)

當您想要跟蹤在分析期間識別的自定義函數(shù)時，只需將 IDA 視圖切換到該函數(shù)，右鍵單擊其主體內(nèi)的任意位置并選擇Add current function to VulFi。

自定義規(guī)則集

也可以加載具有多個規(guī)則集的自定義文件。要創(chuàng)建具有以下結(jié)構(gòu)的自定義規(guī)則文件，您可以在此處使用包含的模板文件。

[    // 規(guī)則數(shù)組
    {
        "name" : " RULE NAME " , // 規(guī)則的名稱
        "alt_names" :[
             " function_name_to_look_for "  // 應與此規(guī)則中定義的條件匹配的所有函數(shù)名稱的列表
        ],
        "wrappers" : true ,     // 也尋找上述函數(shù)的包裝器（注意包裝的函數(shù)也必須匹配規(guī)則）
        "mark_if" :{
             "High" : " True " ,   // If 計算結(jié)果為 True,標記為高優(yōu)先級（參見下面的規(guī)則）
            “中”：“假”，//如果計算結(jié)果為真，則標記為優(yōu)先中（參見下面的規(guī)則）
            “低”：“假”  //如果計算結(jié)果為真，優(yōu)先標記低（見下面的規(guī)則）
        }
    }
]

查找所有對函數(shù)的交叉引用malloc并檢查其參數(shù)是否不是常量以及是否檢查函數(shù)的返回值的示例規(guī)則如下所示：

{
     “名稱”：“可能的空指針取消引用”，
     “ alt_names” ：[
         “ malloc ”，
         “ _ malloc” ，
         “. malloc ”
    ],
    “包裝器”：假，
     “mark_if”：{
         “高”：“不是 param[0].is_constant() 而不是 function_call.return_value_checked() ”，
         “中”：“假”，
         “低”：“假”
    }
}

規(guī)則

可用變量

param[]: 用于訪問函數(shù)調(diào)用的參數(shù)（索引從 開始0）
function_call：用于訪問函數(shù)調(diào)用事件
param_count: 保存?zhèn)鬟f給函數(shù)的參數(shù)計數(shù)

可用功能

參數(shù)是否為常數(shù)：param[].is_constant()
獲取參數(shù)的數(shù)值：param[].number_value()
獲取參數(shù)的字符串值：param[].string_value()
調(diào)用后參數(shù)是否設置為null：param[].set_to_null_after_call()
是否檢查函數(shù)的返回值：function_call.return_value_checked()

例子

標記對第三個參數(shù)大于 5 的函數(shù)的所有調(diào)用：param[2].number_value() > 5
標記對第二個參數(shù)包含“%s”的函數(shù)的所有調(diào)用："%s" in param[1].string_value()
標記對第二個參數(shù)不是常量的函數(shù)的所有調(diào)用：not param[1].is_constant()
標記對函數(shù)的所有調(diào)用，其中根據(jù)等于參數(shù)數(shù)量的值驗證返回值：function_call.return_value_checked(param_count)
標記對返回值針對任何值進行驗證的函數(shù)的所有調(diào)用：function_call.return_value_checked()
標記對一個函數(shù)的所有調(diào)用，其中從第三個開始的參數(shù)都不是常量：all(not p.is_constant() for p in param[2:])
標記對任何參數(shù)為常量的函數(shù)的所有調(diào)用：any(p.is_constant() for p in param)
標記對函數(shù)的所有調(diào)用：True

審核編輯 ：李倩