Compartilhar via

Como executar testes do Fuzz com IoSpy e IoAttack

  • Artigo

Observação

IoSpy e IoAttack não estão mais disponíveis no WDK após Windows 10 versão 1703.

Como alternativa a essas ferramentas, considere usar os testes de fuzzing disponíveis no HLK. Aqui estão alguns a considerar.

DF – Teste de IOCTL aleatório do Fuzz (Confiabilidade)

DF – Teste de sub-abertura do Fuzz (Confiabilidade)

DF – Teste FSCTL do buffer de comprimento zero do Fuzz (Confiabilidade)

DF – Teste FSCTL aleatório do Fuzz (Confiabilidade)

DF – Teste de API do Fuzz Misc (Confiabilidade)

Você também pode usar o fuzzing de atraso de sincronização do Kernel incluído no Verificador de Driver.

Para executar testes de fuzz usando IoSpy e IoAttack, faça o seguinte:

  1. Instalar o IoSpy:

    Para instalar o IoSpy e habilitar testes de fuzz em dispositivos específicos, execute o teste Habilitar Espião de E/S . O parâmetro DQ controla em quais dispositivos o driver de filtro IoSpy está instalado.

  2. Execute testes IOCTL e WMI nos dispositivos especificados:

    Depois de reiniciar o sistema de teste, o IoSpy está pronto para filtrar solicitações IOCTL e WMI para os dispositivos que foram habilitados para testes de fuzz. Agora você deve exercer os caminhos de código IOCTL e WMI em drivers para esses dispositivos usando os testes apropriados. Isso permite que o IoSpy registre o máximo de detalhes possível com base nessas solicitações IOCTL e WMI. O IoSpy salva esses detalhes no Arquivo de Dados IoSpy.

  3. Desinstalar o IoSpy:

    Depois de exercer totalmente os caminhos de código IOCTL e WMI, primeiro você deve desinstalar o IoSpy antes de executar o IoAttack para executar os testes de fuzz. Para desinstalar o IoSpy, execute o teste Desabilitar Espião de E/S .

    Esse comando remove o driver de filtro IoSpy de todos os dispositivos que foram habilitados para testes de fuzz. Depois que o comando for executado, reinicie o sistema de teste para descarregar o driver de filtro IoSpy da memória.

    Nota Quando você desinstalar o IoSpy, ele não excluirá o arquivo de dados IoSpy. O local desse arquivo é definido pelo parâmetro DFD para o teste Habilitar Espião de E/S . O local padrão é %SystemDrive%\DriverTest\IoSpy. Para obter mais informações, consulte Arquivo de dados IoSpy.

  4. Execute IoAttack:

    O sistema de teste agora está pronto para executar os testes de fuzz executando o teste Executar Ataque de E/S . Para obter mais informações sobre como executar o IoAttack, consulte IoAttack.

    Nota Para verificar os privilégios de acesso das interfaces IOCTL e WMI do driver, você deve executar contas IoAttack com privilégios diferentes, como uma conta de convidado e uma conta de administrador.