Compartir a través de

Realización de pruebas aproximadas con IoSpy e IoAttack

  • Artículo

Nota

IoSpy e IoAttack ya no están disponibles en el WDK después de Windows 10 versión 1703.

Como alternativa a estas herramientas, considere la posibilidad de usar las pruebas aproximadas disponibles en el HLK. Estos son algunos aspectos que se deben tener en cuenta.

DF: prueba de IOCTL aleatoria aproximada (confiabilidad)

DF: prueba de apertura parcial (confiabilidad)

DF: prueba FSCTL del búfer de longitud cero aproximada (confiabilidad)

DF: prueba FSCTL aleatoria aproximada (confiabilidad)

DF: prueba de API incorrecta de Fuzz (confiabilidad)

También puede usar la aproximación de retraso de sincronización del kernel que se incluye con el Comprobador de controladores.

Para realizar pruebas aproximadas mediante IoSpy e IoAttack, haga lo siguiente:

  1. Instale IoSpy:

    Para instalar IoSpy y habilitar pruebas aproximadas en dispositivos específicos, ejecute la prueba Habilitar E/S Spy . El parámetro DQ controla en qué dispositivos está instalado el controlador de filtro IoSpy.

  2. Ejecute pruebas IOCTL y WMI en los dispositivos especificados:

    Después de reiniciar el sistema de prueba, IoSpy está listo para filtrar las solicitudes IOCTL y WMI a los dispositivos que se habilitaron para las pruebas aproximadas. Ahora debe ejercer las rutas de acceso de código IOCTL y WMI en controladores para estos dispositivos mediante el uso de las pruebas adecuadas. Esto permite a IoSpy registrar tantos detalles como sea posible en función de estas solicitudes IOCTL y WMI. IoSpy guarda estos detalles en el archivo de datos de IoSpy.

  3. Desinstalar IoSpy:

    Después de haber realizado completamente las rutas de acceso de código IOCTL y WMI, primero debe desinstalar IoSpy antes de poder ejecutar IoAttack para realizar las pruebas aproximadas. Para desinstalar IoSpy, ejecute la prueba Deshabilitar E/S Spy .

    Este comando quita el controlador de filtro IoSpy de todos los dispositivos que se habilitaron para las pruebas aproximadas. Una vez ejecutado el comando, reinicie el sistema de prueba para descargar el controlador de filtro de IoSpy de la memoria.

    Nota Al desinstalar IoSpy, no eliminará el archivo de datos de IoSpy. El parámetro DFD establece la ubicación de este archivo en la prueba Habilitar E/S Spy . La ubicación predeterminada es %SystemDrive%\DriverTest\IoSpy. Para obtener más información, consulte Archivo de datos ioSpy.

  4. Ejecute IoAttack:

    El sistema de prueba ya está listo para ejecutar las pruebas aproximadas mediante la ejecución de la prueba Ejecutar ataque de E/S . Para obtener más información sobre cómo ejecutar IoAttack, consulte IoAttack.

    Nota Para comprobar los privilegios de acceso de las interfaces IOCTL y WMI del controlador, debe ejecutar cuentas de IoAttack con privilegios diferentes, como una cuenta de invitado y una cuenta de administrador.