信息技术的发展,对全球的经济、政治、科教、军事等社会发展的各方面带来了重大的影响,不仅仅使人类社会获得了高效率和便利,同时也给人类社会带来了威胁和风险。各种利用软件的漏洞、安全弱点的恶意攻击手段层出不穷,而且漏洞攻击的数量呈逐年增长之势。缓冲区溢出攻击是当前最常见的一种漏洞形式,它不仅广泛存在于各种各样的软件系统中,而且危害性极大,是最容易被攻击者利用的一种漏洞形式,它可以导致程序运行的失败、系统死机或重新启动等后果,更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。因此,对软件漏洞的深入研究,对软件漏洞的充分测试机制的探索,必然更有利于我们从根本上解决计算机安全问题。如果我们能够在软件发布之前就发现漏洞的存在,并且对这些漏洞进行补救,这样即可以减少防范带来的损失,又能减少客户的损失,具有重要的意义。传统的漏洞检测技术主要包括:手工分析、静态分析方法和动态分析方法。其中静态分析方法又分为基于源码的静态分析和基于二进制的静态分析,是在软件运行前,通过对其源代码的分析,找出可能存在的软件漏洞;而动态分析方法是指存在漏洞的软件在其运行过程中,对其行为加以监视和限制,从而禁止其中可能存在的漏洞被恶意利用。本文在分析了缓冲区溢出的抽象不变量的基础上,提出了一种新的缓冲区溢出测试机制,利用程序插装和变异测试来测试程序的缓冲区溢出漏洞,这种测试机制能够更好地测试出缓冲区溢出:能够综合静态分析和动态分析的优点,更有利于解决软件的缓冲区漏洞威胁。