IoSpy

Artikel
06/14/2023

Hinweis

IoSpy und IoAttack sind im WDK nach Windows 10 Version 1703 nicht mehr verfügbar.

Als Alternative zu diesen Tools sollten Sie die im HLK verfügbaren Fuzzingtests verwenden. Im Folgenden finden Sie einige zu berücksichtigende Punkte.

DF – Fuzz – Zufälliger IOCTL-Test (Zuverlässigkeit)

DF – Fuzz – Test zum Öffnen von Sub (Zuverlässigkeit)

DF – Fuzz – FSCTL-Test auf Puffer mit Länge null (Zuverlässigkeit)

DF – Fuzz – Zufälliger FSCTL-Test (Zuverlässigkeit)

DF – Fuzz – Sonstiger API-Test (Zuverlässigkeit)

Sie können auch das Kernelsynchronisierungsverzögerungsfuzzing verwenden, das in der Treiberüberprüfung enthalten ist.

IoSpy ist ein Filtertreiber, der Daten zu IOCTL- und WMI-Anforderungen an den Kernelmodustreiber eines Geräts aufzeichnet.

Sie können IoSpy mithilfe der Penetrationstests (Gerätegrundlagen) installieren und entfernen, E/A-Spion aktivieren und E/A-Spy deaktivieren. Der DQ-Parameter steuert, auf welchen Geräten der IoSpy-Filtertreiber installiert ist. IoSpy zeichnet die Details zu den IOCTL- und WMI-Anforderungen in der IoSpy-Datendatei auf, die von IoAttack zum Ausführen der Fuzztests verwendet wird.

Wichtig Bevor Sie IoAttack ausführen, müssen Sie IoSpy zuvor ausgeführt und dann aus dem Testsystem entfernt haben. Weitere Informationen finden Sie unter Ausführen von Fuzztests mit IoSpy und IoAttack.

Begriff	Beschreibung
Deaktivieren von E/A-Spion	Deaktivieren Sie I / O Spy auf 1 oder mehr Geräten. Deinstalliert IoSpy und deaktiviert die IOCTL- und WMI-Filterung für alle Geräte auf dem Testsystem. Binärdatei testen: Devfund_IOSpy_DisableSupport.wsc Testmethode: DisableIoSpy Parameter: – Siehe Testparameter für Gerätegrundlagen DQ
Anzeigen von I / O Spy-fähigen Gerät	Anzeigen von Geräten, auf denen I /O Spy aktiviert ist. Binärdatei testen: Devfund_IOSpy_DisplayEnabledDevices.wsc Testmethode: DisplayIoSpyGeräte
Aktivieren von E/A-Spion	Installiert IoSpy auf dem Testsystem und ermöglicht die IOCTL- und WMI-Filterung auf einem oder mehreren Geräten. Der DQ-Parameter steuert, auf welchen Geräten der IoSpy-Filtertreiber installiert wird. Binärdatei testen: Devfund_IOSpy_EnableSupport.wsc Testmethode: EnableIoSpy Parameter: – Siehe Testparameter für Gerätegrundlagen DQ DFD : Gibt den Pfad zur IoSpy-Datendatei an. Der Standardspeicherort ist %SystemDrive%\DriverTest\IoSpy.

Deaktivieren von E/A-Spion

Deaktivieren Sie I / O Spy auf 1 oder mehr Geräten. Deinstalliert IoSpy und deaktiviert die IOCTL- und WMI-Filterung für alle Geräte auf dem Testsystem.

Binärdatei testen: Devfund_IOSpy_DisableSupport.wsc

Testmethode: DisableIoSpy

Parameter: – Siehe Testparameter für Gerätegrundlagen

Anzeigen von I / O Spy-fähigen Gerät

Anzeigen von Geräten, auf denen I /O Spy aktiviert ist.

Binärdatei testen: Devfund_IOSpy_DisplayEnabledDevices.wsc

Testmethode: DisplayIoSpyGeräte

Aktivieren von E/A-Spion

Installiert IoSpy auf dem Testsystem und ermöglicht die IOCTL- und WMI-Filterung auf einem oder mehreren Geräten. Der DQ-Parameter steuert, auf welchen Geräten der IoSpy-Filtertreiber installiert wird.

Binärdatei testen: Devfund_IOSpy_EnableSupport.wsc

Testmethode: EnableIoSpy

Parameter: – Siehe Testparameter für Gerätegrundlagen

DFD : Gibt den Pfad zur IoSpy-Datendatei an. Der Standardspeicherort ist %SystemDrive%\DriverTest\IoSpy.

IoSpy-Datendatei

Nachdem IoSpy in einem Testsystem installiert wurde, zeichnet es die Daten auf, die über IOCTL- und WMI-Anforderungen an die Treiber für Geräte gesendet werden, die für Fuzztests aktiviert sind. Obwohl IoSpy die Nutzlasten dieser Anforderungen nicht analysiert, zeichnet es die Details der Anforderungen auf, z. B. die Länge der Nutzlastpuffer.

Der DFD-Parameter für den Enable I/O Spy-Test gibt den Pfad zur IoSpy-Datendatei an. Der Standardspeicherort ist %SystemDrive%\DriverTest\IoSpy.

Freigeben über

IoSpy

IoSpy-Datendatei

Feedback

Zusätzliche Ressourcen