IoSpy
注意
Windows 10版本 1703 后,在 WDK 中不再提供 IoSpy 和 IoAttack。
作为这些工具的替代方法,请考虑使用 HLK 中提供的模糊测试。 下面是一些需要考虑的问题。
还可以使用驱动程序验证程序附带的 内核同步延迟模糊 。
IoSpy 是一个筛选器驱动程序,用于记录对设备的内核模式驱动程序发出的有关 IOCTL 和 WMI 请求的数据。
可以使用 渗透测试 (设备基础知识) 测试、 启用 I/O Spy 和禁用 I/OSpy 来安装和删除 IoSpy。 DQ 参数控制安装了 IoSpy 筛选器驱动程序的设备。 IoSpy 记录 IoSpy 数据文件中有关 IOCTL 和 WMI 请求的详细信息, IoAttack 使用该文件执行模糊测试。
重要 在运行 IoAttack 之前,必须先运行 IoSpy,然后将其从测试系统中删除。 有关详细信息,请参阅 如何使用 IoSpy 和 IoAttack 执行模糊测试。
| 术语 | 说明 |
|---|---|
禁用 I/O Spy |
在 1 个或多个设备上禁用 I/O Spy。 卸载 IoSpy 并为测试系统上的所有设备禁用 IOCTL 和 WMI 筛选。 测试二进制文件: Devfund_IOSpy_DisableSupport.wsc 测试方法: DisableIoSpy 参数: - 请参阅 设备基础知识测试参数 DQ |
显示已启用 I/O Spy 的设备 |
显示启用了 I/O Spy 的设备。 测试二进制文件: Devfund_IOSpy_DisplayEnabledDevices.wsc 测试方法: DisplayIoSpyDevices |
启用 I/O Spy |
在测试系统上安装 IoSpy,并在一个或多个设备上启用 IOCTL 和 WMI 筛选。 DQ 参数控制将在哪些设备上安装 IoSpy 筛选器驱动程序。 测试二进制文件: Devfund_IOSpy_EnableSupport.wsc 测试方法: EnableIoSpy 参数: - 请参阅 设备基础知识测试参数 DQ DFD - 指定 IoSpy 数据文件的路径。 默认位置为 %SystemDrive%\DriverTest\IoSpy |
IoSpy 数据文件
在测试系统中安装 IoSpy 后,它会记录通过 IOCTL 和 WMI 请求发送到启用模糊测试的设备驱动程序的数据。 虽然 IoSpy 不分析这些请求的有效负载,但它会记录请求的详细信息,例如有效负载缓冲区的长度。
启用 I/O Spy 测试的 DFD 参数指定 IoSpy 数据文件的路径。 默认位置为 %SystemDrive%\DriverTest\IoSpy