Freigeben über

Durchführen von Fuzztests mit IoSpy und IoAttack

  • Artikel

Hinweis

IoSpy und IoAttack sind im WDK nach Windows 10 Version 1703 nicht mehr verfügbar.

Als Alternative zu diesen Tools sollten Sie die im HLK verfügbaren Fuzzingtests verwenden. Im Folgenden finden Sie einige zu berücksichtigende Punkte.

DF – Fuzz – Zufälliger IOCTL-Test (Zuverlässigkeit)

DF – Fuzz – Test zum Öffnen von Sub (Zuverlässigkeit)

DF – Fuzz – FSCTL-Test auf Puffer mit Länge null (Zuverlässigkeit)

DF – Fuzz – Zufälliger FSCTL-Test (Zuverlässigkeit)

DF – Fuzz – Sonstiger API-Test (Zuverlässigkeit)

Sie können auch das Kernelsynchronisierungsverzögerungsfuzzing verwenden, das in der Treiberüberprüfung enthalten ist.

Gehen Sie wie folgt vor, um Fuzztests mithilfe von IoSpy und IoAttack durchzuführen:

  1. Installieren Sie IoSpy:

    Um IoSpy zu installieren und Fuzztests auf bestimmten Geräten zu aktivieren, führen Sie den Enable I/O Spy-Test aus. Der DQ-Parameter steuert, auf welchen Geräten der IoSpy-Filtertreiber installiert ist.

  2. Führen Sie IOCTL- und WMI-Tests auf den angegebenen Geräten aus:

    Nachdem Sie das Testsystem neu gestartet haben, ist IoSpy bereit, IOCTL- und WMI-Anforderungen an die Geräte zu filtern, die für Fuzztests aktiviert wurden. Sie müssen nun die IOCTL- und WMI-Codepfade in Treibern für diese Geräte ausführen, indem Sie die geeigneten Tests verwenden. Dadurch kann IoSpy basierend auf diesen IOCTL- und WMI-Anforderungen so viele Details wie möglich aufzeichnen. IoSpy speichert diese Details in der IoSpy-Datendatei.

  3. Deinstallieren Sie IoSpy:

    Nachdem Sie die IOCTL- und WMI-Codepfade vollständig ausgeführt haben, müssen Sie zuerst IoSpy deinstallieren, bevor Sie IoAttack ausführen können, um die Fuzztests auszuführen. Um IoSpy zu deinstallieren, führen Sie den Disable I/O Spy-Test aus.

    Dieser Befehl entfernt den IoSpy-Filtertreiber von allen Geräten, die für Fuzztests aktiviert wurden. Nachdem der Befehl ausgeführt wurde, starten Sie das Testsystem neu, um den IoSpy-Filtertreiber aus dem Arbeitsspeicher zu entladen.

    Hinweis Wenn Sie IoSpy deinstallieren, wird die IoSpy-Datendatei nicht gelöscht. Der Speicherort dieser Datei wird vom DFD-Parameter auf den Enable I/O Spy-Test festgelegt. Der Standardspeicherort ist %SystemDrive%\DriverTest\IoSpy. Weitere Informationen finden Sie unter IoSpy-Datendatei.

  4. Führen Sie IoAttack aus:

    Das Testsystem ist jetzt bereit, die Fuzztests auszuführen, indem der Test "E/A-Angriff ausführen" ausgeführt wird. Weitere Informationen zum Ausführen von IoAttack finden Sie unter IoAttack.

    Hinweis Um die Zugriffsberechtigungen der IOCTL- und WMI-Schnittstellen Ihres Treibers zu überprüfen, sollten Sie IoAttack-Konten mit unterschiedlichen Berechtigungen ausführen, z. B. ein Gastkonto und ein Administratorkonto.