几十年前，两颗 *** 爆炸，人们在可怕的蘑菇云中，被核武器的威力所震慑。

在看不见敌人的神秘 *** 世界里，有一种武器堪比核武器。

几个月前，“永恒之蓝”从美国国家安全局的军方军火库泄露，威力巨大的武器落到了一群毛贼手中，被利用做了一次低俗的敲诈勒索。但那一次，也许是全世界人民再一次深刻体会到这种武器的可怕。

它就是漏洞武器。

*** 世界的暗黑力量瞅准了漏洞，安全守卫者也看到了漏洞的价值。不过，在安全研究人员看来，抢先一步发现漏洞，填上它，就是一种胜利。

不过，从开始渗透测试网站到发现漏洞，然后提交给厂商，整个过程会耗费安全研究人员大量的时间精力，甚至不得不连续几个日夜守在电脑面前反复测试。何况，漏洞挖掘技术有高低，天赋、时间、经验……都是一道道关卡。

最近，有人告诉雷锋网编辑，他们研发除了一款 Windows 漏洞自动化挖掘系统 Digtool，可捕获程序执行过程中触发的漏洞。

咦？Windows 系统的漏洞挖掘，由于微软没有提供源码，人工挖掘需要逆向分析。这个漏洞工具到底是怎么实现的？听说 Google project zero 也开发了类似工具，相比之下，效果几何？

该工具的开发人之一 、360 冰刃实验室负责人潘剑锋接受了雷锋网的采访。

“淘金者”Digtool “以静制动”

 

在冰刃实验室提供的资料中，提到 Digtool 的工作流程就像挖沙淘金一样：首先，Digtool 可以记录内存访问等行为日志，这就实现了之一步挖沙的过程；进而，Digtool 的分析模块会进行分析，一旦符合主要的六种漏洞行为特征规则，便实现了一次“淘金”，也就意味着找到一个漏洞。

事实上， Digtool 并不是机器人，下达一声命令，它就勤勤恳恳地开始自动“淘金”。

至少，你得先开机。

曾有一计谋称为“以静制动”，也就是我们通常所说的：我就静静看你装逼，然后一切真相了然于胸。

只有在系统在任务执行的动态过程中，Digtool 才会像灵敏的猎犬，嗅出一切可疑的破绽。

此前介绍的 Digtool 的工作流程其实分为两个步骤。

之一部分是指路径探测模块。因为程序运行会有大量的路径产生，有些路径是正常的，只有某些路径才会出错。如果你探测不了这个路径，根本发现不了这个漏洞，因为其他路径跑出来的结果是正常的。

Digtool 在这个过程中产生的更大作用是，尽量引导执行更多的路径。

读万卷书，行万里路，找“一万条”路，才能获得人生真谛。Digtool 不断尝试从 A 点到 B 点的可能路径，就像那个把巨石一直推向山顶，巨石掉落，又往山顶推的人。只是，不走寻常路。

因为漏洞本身就是罕见的，很可能在一万条路里，才能找出一条通向成功，哦不，是漏洞的路。

从这个意义上来说，Digtool 深刻地领悟了人生（漏洞）哲学。

第二，错误捕获，跑到这条特殊的路径上算是成功了一半，捕获到错误是成功的另一半。

潘剑锋指出，软件漏洞是程序的与安全性相关的错误或缺陷，有漏洞的程序在动态运行时会产生各种异常行为，比如有UAF的程序执行时产生访问已释放内存的行为；再如有内核的信息泄露漏洞的内核程序段，会产生把应用层不应该知道的地址写到应用层地址空间的行为，Digtool 可以捕获这些异常行为从而发现背后的漏洞。

至此，Digtool 才算在一个漏洞的挖掘上功德圆满。

白帽子暂时不会失业

Digtool 目前擅长挖掘六类漏洞，而且针对的是 Windows系统。

之一类， OOB越界访问漏洞。

第二类，UAF释放后使用漏洞。

第三类，TOCTTOU即time-of-check-to-time-of-use漏洞，这里指来自用户的不可信参数在被系统（如内核）检查和使用之间，可被用户篡改的漏洞。它本也属于竞争条件型，但可由 Double Fetch检测 *** 高效发现，故单列出。

以一个程序为例，来了一个用户层的内存 A，系统访问了里面一个指针读出来，它确实是一个合法的指针，后来要使用这个指针时，却直接从用户内存取这个指针，前面取出来检查，后面又取出来使用，在这个过程中，别的用户可以修改指针，漏洞就产生了。