Symbolic Exectuion with Mixed Concrete-Symbolic Solving
(掺杂了具体符号求解的符号执行)
概述:
这篇文章分析了传统的静态符号执行的局限性(也就是决策过程或约束求解器不完善,以及不能处理外部库调用),并将其与基于DART(Directed Automatic Random Testing)的动态符号执行方法进行了一系列的比较。在此之上,提出了一种方法,来克服传统静态符号执行的局限,同时保留可以进行回溯处理的优点(避免大量代码的重复执行;支持增量式约束求解)。
这种方法的核心思想是:
1)将生成的PC中的路径约束分为SimplePC和ComplexPC两种。所谓SimplePc就是可以被约束求解器或者决策过程直接求解的,而ComplexPc则表示不能被约束求解器处理的路径约束,比如非线性的整数运算(如开方、幂运算),内部以及外部函数调用等。
2)先求解SimplePc,并用求得的解对ComplexPc进行具体化,然后一块构成新的PC,再进行约束求解。
可能存在这种情况,路径本来是可达的,但是无法求得有效解,也就是会认为不可达。这种情况的原因是,我们是利用对SimplePC求解的值来具体化简化ComplexPC,而正是因为SimplePC求解值的不恰当,导致整个PC无法求解。为了保证这种方法的有效性,文中还提出了两种启发式思想,即
1)Incremental Solving Heuristic
即对SimplePC多次求解(增量式指SimplePC元素个数越来越多,因为它要将上次 SimplePC求解结果取反,再并入到SimplePC中),这样就可以获得多个值,并依次用 这些值来简化ComplexPC,并对生成的多个新的PC进行约束求解。
2)Partitioning Heuristic
这种思想是,将Uninterpreted functions(属于ComplexPC)的参数的域在有趣的点进行 划分,从而得到一个额外的约束列表,然后依次将约束列表中的每个约束,连同原来的 PC一块,组成新的PC,再进一步的求解。
存在的问题以及将来的工作:
1.因为传统的静态符号执行,路径的搜索和生成是利用了模型检测器,而JPF支持路径的随机搜索,那么如果使用随机搜索,同时使用随机求解(即当SimplePC中不包含ComplexPC中变量的约束时,就为不受约束的变量赋予一个随机值),是否就能享有DART的所有优点,同时保留传统符号执行原有的优点?无法理论证明,需通过大量实验验证。
2.开发新的启发式思想。比如有些求解器(如Choco)对SimplePC的求解结果可能是一个区间范围,这就需要使用随机抽样技术,来具体化简化ComplexPC。
3.这些新的启发式思想,可能在实际使用时花销很大。这需要进行实验证实,并对算法进行微妙的调整。
4.上述提出的方法,仅对于那些Pure(无副作用)的外部 methods,或者有副作用,但副作用对于分析无影响的methods有效。