自动化漏洞挖掘工具可以在短时间内生成大量导致被测软件崩溃的异常样本,安全人员借助这些异常样本来触发目标软件中潜在的漏洞,人工分析出其中可利用的漏洞并进行修补。然而,由自动化工具生成的异常样本数量巨大,人工分析的过程效率低、耗时长,无法满足网络空间快速反应的需求。为了快速实现漏洞的验证与修复,需要对自动化漏洞挖掘工具产生的海量crash进行可利用性的自动化判断。现有的自动化漏洞分析工具可处理的异常样本类型有限,目前仅能处理执行异常类型和部分写异常类型,而对于常见的读异常则无法处理。针对这个问题,本文提出了基于异常缓解的可利用性判断方法。该方法通过对crash样本的符号化重放,构造并重用数据片段,使程序可继续向前执行直到触发可利用性的异常(执行异常)类型,实现对复杂的异常(读异常)的突破与绕过,提升了对漏洞可利用性分析的效率和准确性。对CGC/RHG中典型的二进制软件的测试表明,本方法可将现有分析工具无法判断的crash自动转化为新的crash类型并成功完成可利用性判断。格式化字符串漏洞作为一种危害较大、存在较普遍的漏洞,目前尚无针对其可利用性进行判定的专门研究。针对这一问题,本文提出了基于漏洞利用代码自动生成的格式化字符串在堆上的漏洞可利用性判断方法,可以全自动的完成格式化字符串在堆上的漏洞可利用性判断,填补了漏洞可利用性分析在该问题研究上的空白。