IoSpy

Articolo
06/15/2023

Nota

IoSpy e IoAttack non sono più disponibili in WDK dopo Windows 10 versione 1703.

In alternativa a questi strumenti, è consigliabile usare i test fuzzing disponibili in HLK. Ecco alcuni da considerare.

DF - Test IOCTL casuale fuzz (affidabilità)

DF - Test con apertura secondaria fuzz (affidabilità)

DF - Buffer di lunghezza zero fuzz BUFFER (affidabilità)

DF - Test CASUALE CASUALE PFTL fuzz (affidabilità)

DF - Test dell'API Fuzz Misc (affidabilità)

È anche possibile usare il ritardo di sincronizzazione del kernel incluso in Driver Verifier.

IoSpy è un driver di filtro che registra i dati sulle richieste IOCTL e WMI effettuate al driver in modalità kernel di un dispositivo.

È possibile installare e rimuovere IoSpy usando i test di penetrazione (Nozioni fondamentali del dispositivo),Abilitare I/O Spy e Disabilitare I/O Spy. Il parametro DQ controlla i dispositivi in cui è installato il driver di filtro IoSpy. IoSpy registra i dettagli sulle richieste IOCTL e WMI all'interno del file di dati IoSpy, usato da IoAttack per eseguire i test fuzz.

Importante Prima di eseguire IoAttack, è necessario aver eseguito IoSpy in precedenza e quindi rimuoverlo dal sistema di test. Per altre informazioni, vedere Come eseguire test Fuzz con IoSpy e IoAttack.

Termine	Descrizione
Disabilita I/O Spy	Disabilita I/O Spy su 1 o più dispositivi. Disinstalla IoSpy e disabilita i filtri IOCTL e WMI per tutti i dispositivi nel sistema di test. Test binario: Devfund_IOSpy_DisableSupport.wsc Metodo di test: DisableIoSpy Parametri: - vedere Parametri di test dei concetti fondamentali del dispositivo DQ
Display I/O Spy-enabled Device	Visualizzare i dispositivi con I/O Spy abilitato su di essi. Test binario: Devfund_IOSpy_DisplayEnabledDevices.wsc Metodo di test: DisplayIoSpyDevices
Abilitare I/O Spy	Installa IoSpy nel sistema di test e abilita il filtro IOCTL e WMI in uno o più dispositivi. Il parametro DQ controlla i dispositivi in cui verrà installato il driver di filtro IoSpy. Test binario: Devfund_IOSpy_EnableSupport.wsc Metodo di test: EnableIoSpy Parametri: - vedere Parametri di test dei concetti fondamentali del dispositivo DQ DFD : specifica il percorso del file di dati IoSpy. Il percorso predefinito è %SystemDrive%\DriverTest\IoSpy

Disabilita I/O Spy

Disabilita I/O Spy su 1 o più dispositivi. Disinstalla IoSpy e disabilita i filtri IOCTL e WMI per tutti i dispositivi nel sistema di test.

Test binario: Devfund_IOSpy_DisableSupport.wsc

Metodo di test: DisableIoSpy

Parametri: - vedere Parametri di test dei concetti fondamentali del dispositivo

Display I/O Spy-enabled Device

Visualizzare i dispositivi con I/O Spy abilitato su di essi.

Test binario: Devfund_IOSpy_DisplayEnabledDevices.wsc

Metodo di test: DisplayIoSpyDevices

Abilitare I/O Spy

Installa IoSpy nel sistema di test e abilita il filtro IOCTL e WMI in uno o più dispositivi. Il parametro DQ controlla i dispositivi in cui verrà installato il driver di filtro IoSpy.

Test binario: Devfund_IOSpy_EnableSupport.wsc

Metodo di test: EnableIoSpy

Parametri: - vedere Parametri di test dei concetti fondamentali del dispositivo

DFD : specifica il percorso del file di dati IoSpy. Il percorso predefinito è %SystemDrive%\DriverTest\IoSpy

File di dati IoSpy

Dopo l'installazione di IoSpy in un sistema di test, registra i dati inviati tramite IOCTL e richieste WMI ai driver per i dispositivi abilitati per i test fuzz. Anche se IoSpy non analizza i payload di queste richieste, registra i dettagli delle richieste, ad esempio la lunghezza dei buffer del payload.

Il parametro DFD per il test Enable I/O Spy specifica il percorso del file di dati IoSpy. Il percorso predefinito è %SystemDrive%\DriverTest\IoSpy

Condividi tramite

IoSpy

File di dati IoSpy

Commenti e suggerimenti

Risorse aggiuntive