随着信息技术的发展,软件应用越来越广泛,软件规模越来越庞大,由于设计和编码的失误和错误导致的程序缺陷与日俱增。在这些可以导致程序崩溃的缺陷中,有一部分可以直接被黑客利用的软件漏洞,利用这些软件漏洞可以达到注入代码、远程执行任意命令或倾泻内存中的敏感数据信息等目的。为了尽可能地减少软件中的缺陷和漏洞、提高软件可信度、保证软件安全,软件安全研究人员需要深入探究软件漏洞成因,得到软件缺陷的概念性证明和漏洞利用,熟悉系统对软件缺陷地缓解和保护策略,从而对软件漏洞进行更好地掌控。而软件漏洞的挖掘和利用是一项复杂而耗时的工作,安全研究人员很可能在漏洞挖掘和利用过程中因粗心大意而误入歧途,探索错误的软件执行路径,导致大量工作的浪费,所以一款自动的软件漏洞挖掘和利用生成工具是软件安全研究人员所期待的,以此进行漏洞挖掘和利用生成,软件安全研究人员的工作就可以减轻为认证和标记这些工具自动找到的程序问题。为了实现自动生成软件的漏洞利用,我们首先想到了符号执行技术,因为该技术可以为特定的程序路径生成程序的测试用例。本文通过对软件中大量存在的缓冲区溢出漏洞进行研究,对其产生原理、利用方式、系统防护措施和系统防护绕过技术进行深度研究,利用符号执行技术和其它现有的技术手段将漏洞挖掘和利用生成的过程自动化,实现了一套针对该漏洞的自动化软件工具。本文的主要工作有:研究了现有的程序分析与软件漏洞挖掘技术;研究了缓冲区溢出漏洞的产生与利用原理;研究了现代操作系统中的系统保护策略与利用绕过方式;提出并实现了一款自动漏洞挖掘与利用生成工具,并绕过了部分系统防护策略;最后本文对软件安全的发展进行总结和展望。