软件安全漏洞已经成为网络信息安全的最主要的威胁之一。最近几年以来互联网发生的重大黑客或是病毒事件,基本上都是由于软件漏洞的存在而导致的,而缓冲区溢出漏洞一直是安全漏洞的最常见的一种形式。近年来,在CERT/CC(Computer Emergency Response/Coordination Center)发布的公告中,关于缓冲区溢出漏洞的占50%以上。通过利用缓冲区溢出漏洞,攻击者能够改编程序的执行流程,甚至获得非法的权限,从而造成巨大的危害。然而,从一个程序中检测出可能的安全漏洞是一件非常困难且耗时的事情。在研究了与缓冲区溢出相关的基本原理以及分析了国内外缓冲区溢出检测的典型技术和工具的基础上,通过对缓冲区溢出漏洞形成原因的研究及溢出技术的分析,给出了一种用于缓冲区溢出漏洞挖掘及漏洞定位的技术。该缓冲区溢出漏洞挖掘及定位技术以一种基于函数调用的缓冲区溢出漏洞模型为基础,以dumb Fuzzing技术为挖掘手段,以一种基于静态分析结合动态跟踪调试的动态监测及溢出定位技术为主要框架,能够达到溢出漏洞挖掘效果。同时,通过其中的溢出漏洞定位技术能够将溢出漏洞定位至具体的函数调用,这样就可以找出被测试软件中存在溢出漏洞的以函数为单位进行组织的那些代码。该技术从提高软件安全性、改进软件本身的不足的角度上来看,是具有一定实际意义的。通过对现有一些软件进行的实验及测试,得到了比较理想的结果。所提出的缓冲区溢出漏洞挖掘及漏洞定位技术及其实现框架,对于溢出漏洞挖掘的研究是很有意义的,可以针对具体的应用场合进行适当的修改,作为一种进行溢出漏洞挖掘的有效手段。