加州大學(xué)圣塔芭芭拉分校計(jì)算機(jī)科學(xué)教授喬凡尼·維格納(Giovanni Vigna)認(rèn)為，通常需要在現(xiàn)有系統(tǒng)中嵌入的程序中修補(bǔ)問題，以引入或增強(qiáng)安全性。“但是，你為什么要這么做?” 他反問道。“為什么不只是編寫其他程序?”

他回答說(shuō)：“因?yàn)橛袝r(shí)這是不可能的，否則將需要非常大的努力。” “有時(shí)，您會(huì)得到一個(gè)要修補(bǔ)的程序，而您沒有源代碼可以在該級(jí)別修改它并重新編譯它。”

普渡大學(xué)的助理教授安東尼奧·比安奇(Antonio Bianchi)說(shuō)：“許多嵌入式計(jì)算機(jī)系統(tǒng)，例如卡車，飛機(jī)和醫(yī)療設(shè)備中的嵌入式計(jì)算機(jī)系統(tǒng)，都在無(wú)法使用其源代碼和原始編譯工具鏈的軟件上運(yùn)行。”在UCSB攻讀博士學(xué)位。“已知在這些系統(tǒng)中運(yùn)行的許多舊軟件組件都包含漏洞，但修補(bǔ)它們并非總是容易甚至不可能的。”

UCSB網(wǎng)絡(luò)安全中心主任Vigna和Bianchi是UCSB，Purdue和瑞士洛桑聯(lián)邦理工學(xué)院(EPFL)的一組研究人員，他們獲得了為期四年，耗資390萬(wàn)美元的國(guó)防高級(jí)研究計(jì)劃局( DARPA授予一項(xiàng)名為“ Assured Micropatching”的項(xiàng)目的資金，該項(xiàng)目旨在改善易受攻擊的嵌入式系統(tǒng)中的代碼補(bǔ)丁過(guò)程。

Bianchi說(shuō)：“沒有源代碼，修補(bǔ)漏洞需要直接編輯二進(jìn)制代碼。” “此外，即使在已打補(bǔ)丁的系統(tǒng)中，也無(wú)法保證補(bǔ)丁不會(huì)干擾設(shè)備的原始功能。由于這些困難，他說(shuō)，嵌入式系統(tǒng)中運(yùn)行的代碼通常不打補(bǔ)丁，甚至當(dāng)它被稱為脆弱的時(shí)候。”

在這種情況下，Vigna解釋說(shuō)：“您需要以不同的方式查看程序;您需要查看二進(jìn)制代碼，機(jī)器代碼，實(shí)際確定程序行為的一和零。但是直到最近，二進(jìn)制程序在很大程度上被認(rèn)為是靜態(tài)的;也就是說(shuō)，一旦有了已編譯的程序，想法就就改變了，該程序就無(wú)法更改。有趣的是，在過(guò)去，通常只有惡意行為者會(huì)專注于修改二進(jìn)制文件以感染良性二進(jìn)制程序。”

但是在該領(lǐng)域的發(fā)展過(guò)程中，已經(jīng)開發(fā)出了使二進(jìn)制程序視為可延展實(shí)體的技術(shù)，Vigna說(shuō)：“您可以修改，分解并重新組合在一起。”