[发明专利]一种验证漏洞的方法、装置和电子设备

说明书

本说明书实施例提供一种验证漏洞的方法，根据待验证对象的源码来源信息获取对象源码和对应的补丁，结合对象源码和对应的补丁识别修复待验证对象源码所涉及的修改点控制流，待验证对象安装于第一系统，提取所述修改点控制流的函数特征，对修改点控制流函数特征进行二进制转换并生成二进制数字摘要信息，向第一系统提供所述二进制数字摘要信息，第一系统在运行所述待验证对象时，将二进制数字摘要信息与运行待验证对象时的二进制函数信息进行对比验证，反馈验证结果。由于排除了与补丁无关的那些自行调整内容对验证结果的干扰，从而提高了利用公开的源码对闭源二进制待验证对象的漏洞修复状况进行验证时的准确性。

技术领域

本申请涉及计算机领域，尤其涉及一种验证漏洞的方法、装置和电子设备。

背景技术

软件系统在开发后的使用过程中，往往会暴露出一些问题，针对这些问题，会发布修补漏洞的程序，也就是补丁。

在实际场景中，并非所有的漏洞修复都会引起版本的更新或升级，甚至说，通常情况下，修复漏洞不会引起版本的升级，这就导致，根据版本无法有效判断待验证对象是否已经被该补丁修复，因此，如何监测待验证对象中是否已经更新了补丁，在漏洞修复中显得尤为重要。

目前，验证待验证对象的漏洞修复状况的方式，从原理上有两种，一种是直接将待验证对象与修复后的源码相对比，判断是否相同。

随着闭源软件的兴起，往往无法(没有权限)提取待验证对象的源码，于是产生了另一种验证方式，将待验证对象运行时的二进制信息与修复后的二进制信息的整体特征值相对比，判断是否相同。

闭源软件往往使用开源代码，于是，在第二种验证方式中，实际上是获得闭源软件的版本等能够表示代码来源的信息，进而下载公开的源码，利用下载的源码在云端模拟修复，将修复后的源码编译出二进制程序，从而进行整体特征值的对比。

然而，对现有技术进行分析发现，这种验证方式的准确性有待提高，有必要提出一种新的方法，提高准确性。

其原因在于，现有的验证方法之所以准确性低，是因为，开发者使用开源代码开发闭源软件时，往往会有自己的需求，因而会对公开的源码做一些自行调整，这些自行调整会影响二进制程序的整体特征值，而由于下载的公开源码实际没有包含这些自行调整的地方，由于，因而在进行验证时往往会影响验证结果，为了方便理解，可以想象一种场景：对象存在自行调整，且漏洞已经被修复，这些自行调整使其与云端修复后的二进制文件存在差异，从而造成得到的验证结果并不是：已修复；而如果没有这些自行调整，那么，在待验证对象在被修复后，会与云端编译出的二进制程序完全相同，从而能够得到正确的结论：已修复，也就是说，当计算二进制程序的整体特征时，这些自行修改的地方对其产生了影响，从而降低了验证准确率。

发明内容

本说明书实施例提供一种验证漏洞的方法、装置和电子设备，用以提高验证漏洞是否已被修复的验证准确率。

本说明书实施例提供一种验证漏洞的方法，包括：

根据待验证对象的源码来源信息获取对象源码和对应的补丁，结合所述对象源码和对应的补丁识别修复所述待验证对象源码所涉及的修改点控制流，所述待验证对象安装于第一系统；

提取所述修改点控制流的函数特征，对所述修改点控制流函数特征进行二进制转换并生成二进制数字摘要信息；

向所述第一系统提供所述二进制数字摘要信息，所述第一系统在运行所述待验证对象时，将所述二进制数字摘要信息与运行所述待验证对象时的二进制函数信息进行对比验证，反馈验证结果。

可选地，还包括：

对修复前后的源码进行编译，得到修复前后的可执行程序；

对所述修改点控制流进行语义识别，根据语义识别结果对修改点控制流控制流及对应的指令配置修改点语义标签；