问用于检测用c #编写的软件应用程序中漏洞的动态工具？

EN

• 雪崩是一种动态缺陷检测工具，它生成“死亡输入”( input )--输入数据复制分析程序中的关键缺陷和漏洞。
• BoundsChecker是一个内存检查和API调用验证工具，用于使用MicrosoftVisualC++开发C++软件。
• 瓦兰是一个用于构建动态分析工具的工具框架。有一些增值工具可以自动检测许多内存管理和线程错误，并详细分析您的程序。
• 好了！可利用 (发音为“is可利用的”)是一个Windows调试扩展(Windbg)，它提供自动崩溃分析和安全风险评估。该工具首先创建哈希以确定崩溃的唯一性，然后为崩溃指定可利用性等级:可利用的、可能可利用的、可能不可利用的或未知的。

我通常使用模糊来识别软件中有或没有源代码的漏洞。模糊化技术包括以半自动的方式操作应用程序的输入，以产生错误，您以后必须使用调试器或检查源代码来研究这些错误。

例如，您可以为PDF格式编写一个fuzzer，并使用它生成格式错误的PDF文件，并使用您的软件打开它们，当读取格式错误的PDF时，该软件应该会失败。

使用一个模糊程序，您可以测试数千种不同的输入组合，涵盖了很多情况，但是它并不能保证没有but。

您可以使用桃毛绒平台，这是一个很好的框架来实现模糊程序，并包括打开调试器的工具，并在发现bug时自动记录输入。

您总是可以尝试反编译程序，但是结果可能会大不相同，所以如果这个工具至少是半自动的，我想您要求的是毛茸茸，至少对于已经编译过的代码，这是一种方法。

我不知道为什么要尝试进行动态分析，但是如果您有代码，我建议您查看一下静态分析。

编辑:想到，也是硬科学，查阅文章到计算机支持的建模和推理.证明您的代码是正确的，而不是找到错误，这可能是值得您研究的东西。