IoSpy

Article
03/08/2023

Notes

IoSpy et IoAttack ne sont plus disponibles dans le WDK après Windows 10 version 1703.

En guise d’alternative à ces outils, envisagez d’utiliser les tests de fuzzing disponibles dans le HLK. Voici quelques-uns à prendre en compte.

DF - Test IOCTL aléatoire Fuzz (Fiabilité)

DF - Test de sous-ouverture fuzz (fiabilité)

DF - Test FSCTL fuzz zero length (Fiabilité)

DF - Test FSCTL aléatoire Fuzz (Fiabilité)

DF - Test de l’API Fuz Misc (Fiabilité)

Vous pouvez également utiliser le fuzzing du retard de synchronisation du noyau qui est inclus dans Driver Verifier.

IoSpy est un pilote de filtre qui enregistre les données sur les requêtes IOCTL et WMI effectuées sur le pilote en mode noyau d’un appareil.

Vous pouvez installer et supprimer IoSpy à l’aide des tests d’intrusion (principes de base de l’appareil),activer l’espion d’E/S et désactiver l’espion d’E/S. Le paramètre DQ contrôle les appareils sur lesquels le pilote de filtre IoSpy est installé. IoSpy enregistre les détails des demandes IOCTL et WMI dans le fichier de données IoSpy, qui est utilisé par IoAttack pour effectuer les tests fuzz.

Important Avant d’exécuter IoAttack, vous devez avoir précédemment exécuté IoSpy, puis l’avoir supprimé du système de test. Pour plus d’informations, consultez Comment effectuer des tests Fuzz avec IoSpy et IoAttack.

Terme	Description
Désactiver l’espion d’E/S	Désactiver l’espion des E/S sur 1 ou plusieurs appareils. Désinstalle IoSpy et désactive le filtrage IOCTL et WMI pour tous les appareils du système de test. Binaire de test : Devfund_IOSpy_DisableSupport.wsc Méthode de test : DisableIoSpy Paramètres : - consultez Paramètres de test de base de l’appareil DQ
Afficher l’appareil pour espion d’E/S	Affichez les appareils sur ant l’espion d’E/S. Binaire de test : Devfund_IOSpy_DisplayEnabledDevices.wsc Méthode de test : DisplayIoSpyDevices
Activer L’espion d’E/S	Installe IoSpy sur le système de test et active le filtrage IOCTL et WMI sur un ou plusieurs appareils. Le paramètre DQ contrôle les appareils sur lesquels le pilote de filtre IoSpy sera installé. Binaire de test : Devfund_IOSpy_EnableSupport.wsc Méthode de test : EnableIoSpy Paramètres : - consultez Paramètres de test de base de l’appareil DQ DFD : spécifie le chemin d’accès au fichier de données IoSpy. L’emplacement par défaut est %SystemDrive%\DriverTest\IoSpy

Désactiver l’espion d’E/S

Désactiver l’espion des E/S sur 1 ou plusieurs appareils. Désinstalle IoSpy et désactive le filtrage IOCTL et WMI pour tous les appareils du système de test.

Binaire de test : Devfund_IOSpy_DisableSupport.wsc

Méthode de test : DisableIoSpy

Paramètres : - consultez Paramètres de test de base de l’appareil

Afficher l’appareil pour espion d’E/S

Affichez les appareils sur ant l’espion d’E/S.

Binaire de test : Devfund_IOSpy_DisplayEnabledDevices.wsc

Méthode de test : DisplayIoSpyDevices

Activer L’espion d’E/S

Installe IoSpy sur le système de test et active le filtrage IOCTL et WMI sur un ou plusieurs appareils. Le paramètre DQ contrôle les appareils sur lesquels le pilote de filtre IoSpy sera installé.

Binaire de test : Devfund_IOSpy_EnableSupport.wsc

Méthode de test : EnableIoSpy

Paramètres : - consultez Paramètres de test de base de l’appareil

DFD : spécifie le chemin d’accès au fichier de données IoSpy. L’emplacement par défaut est %SystemDrive%\DriverTest\IoSpy

Fichier de données IoSpy

Une fois Qu’IoSpy est installé dans un système de test, il enregistre les données envoyées via les requêtes IOCTL et WMI aux pilotes pour les appareils activés pour les tests fuzz. Bien qu’IoSpy n’analyse pas les charges utiles de ces demandes, il enregistre les détails des requêtes, tels que la longueur des mémoires tampons de charge utile.

Le paramètre DFD pour le test Enable I/O Spy spécifie le chemin d’accès au fichier de données IoSpy. L’emplacement par défaut est %SystemDrive%\DriverTest\IoSpy

Partager via

IoSpy

Fichier de données IoSpy

Commentaires

Ressources supplémentaires