Partager via

Comment effectuer des tests Fuzz avec IoSpy et IoAttack

  • Article

Notes

IoSpy et IoAttack ne sont plus disponibles dans wdK après Windows 10 version 1703.

Comme alternative à ces outils, envisagez d’utiliser les tests de fuzzing disponibles dans le HLK. Voici quelques-uns à prendre en compte.

DF - Test IOCTL aléatoire Fuzz (Fiabilité)

DF - Fuzz sous-ouvre le test (fiabilité)

DF - Test FSCTL de la mémoire tampon fuzz de longueur zéro (fiabilité)

DF - Test FSCTL aléatoire Fuzz (Fiabilité)

DF - Test de l’API Fuzz Misc (Fiabilité)

Vous pouvez également utiliser le fuzzing de retard de synchronisation du noyau qui est inclus avec le vérificateur de pilote.

Pour effectuer des tests fuzz à l’aide d’IoSpy et IoAttack, procédez comme suit :

  1. Installez IoSpy :

    Pour installer IoSpy et activer les tests fuzz sur des appareils spécifiques, exécutez le test Activer les E/S Spy . Le paramètre DQ contrôle les appareils sur lesquels le pilote de filtre IoSpy est installé.

  2. Exécutez des tests IOCTL et WMI sur les appareils spécifiés :

    Après avoir redémarré le système de test, IoSpy est prêt à filtrer les requêtes IOCTL et WMI sur les appareils qui ont été activés pour les tests fuzz. Vous devez maintenant utiliser les chemins de code IOCTL et WMI dans les pilotes pour ces appareils en utilisant les tests appropriés. Cela permet à IoSpy d’enregistrer autant de détails que possible en fonction de ces demandes IOCTL et WMI. IoSpy enregistre ces détails dans le fichier de données IoSpy.

  3. Désinstaller IoSpy :

    Une fois que vous avez entièrement exercé les chemins de code IOCTL et WMI, vous devez d’abord désinstaller IoSpy avant de pouvoir exécuter IoAttack pour effectuer les tests fuzz. Pour désinstaller IoSpy, exécutez le test Désactiver l’espion d’E/S .

    Cette commande supprime le pilote de filtre IoSpy de tous les appareils qui ont été activés pour les tests fuzz. Une fois la commande exécutée, redémarrez le système de test afin de décharger le pilote de filtre IoSpy de la mémoire.

    Note Lorsque vous désinstallez IoSpy, le fichier de données IoSpy ne sera pas supprimé. L’emplacement de ce fichier est défini par le paramètre DFD sur le test Enable I/O Spy . L’emplacement par défaut est %SystemDrive%\DriverTest\IoSpy. Pour plus d’informations, consultez Fichier de données IoSpy.

  4. Exécutez IoAttack :

    Le système de test est maintenant prêt à exécuter les tests fuzz en exécutant le test Exécuter une attaque d’E/S . Pour plus d’informations sur l’exécution d’IoAttack, consultez IoAttack.

    Note Pour vérifier les privilèges d’accès des interfaces IOCTL et WMI de votre pilote, vous devez exécuter des comptes IoAttack avec différents privilèges, tels qu’un compte invité et un compte d’administrateur.