Tavis Ormandy (), un investigatore di sicurezza in Google, sviluppa u prugettu , destinatu à portà DLLs custruitu per Windows per l'usu in l'applicazioni Linux. U prughjettu furnisce una biblioteca di strati cù quale pudete carricà un schedariu DLL in formatu PE / COFF è chjamate e funzioni definite in questu. Bootloader PE/COFF basatu nantu à u codice . Codice di prughjettu licenziatu sottu GPLv2.
LoadLibrary si occupa di carricà a biblioteca in memoria è di impurtà simboli esistenti, furnisce una applicazione Linux cù una API in stile dlopen. U codice inclusu pò esse debuggatu cù gdb, ASAN è Valgrind. Hè pussibule di correggerà u codice eseguibile in runtime cunnessendu ganci è appiicando patches (runtime patching). A gestione di l'eccezzioni C ++ è a svintura sò supportati.
L'obiettivu di u prugettu hè di urganizà una prova di fuzzing distribuita scalabile è efficiente di DLL in un ambiente basatu in Linux. In Windows, a prova di fuzzing è di copertura ùn hè micca assai efficiente è spessu richiede l'esecuzione di una istanza virtualizzata separata di Windows, soprattuttu quandu pruvate d'analizà prudutti cumplessi cum'è software antivirus chì copre u kernel è u spaziu di l'utilizatori. Utilizendu LoadLibrary, i ricercatori di Google cercanu vulnerabili in codecs video, scanners antivirus, biblioteche di decompressione di dati, decodificatori d'imaghjini, etc.
Per esempiu, utilizendu LoadLibrary, avemu riesciutu à portà u mutore anti-virus Windows Defender per eseguisce in Linux. U studiu di mpengine.dll, chì hè a basa di Windows Defender, hà permessu di analizà un gran numaru di gestori sofisticati di diversi formati, emulatori di sistema di file è interpreti di lingua, potenzialmente furnisce vettori per .
LoadLibrary hè statu ancu utilizatu in a rilevazione in u pacchettu antivirus Avast. Quandu studià a DLL da stu antivirus, hè statu revelatu chì u prucessu di scanning privilegiatu chjave include un interprete JavaScript cumpletu utilizatu per emulà l'esekzione di codice JavaScript di terzu. Stu prucessu ùn hè micca isolatu in un ambiente sandbox, ùn resette micca i privilegi, è analizà e dati esterni micca verificati da u FS è u trafficu di rete interceptatu. Siccomu ogni vulnerabilità in stu prucessu complicatu è senza prutezzione puderia purtari à un cumprumissu remotu di tuttu u sistema, una cunchiglia speciale hè stata sviluppata basatu in LoadLibrary. per l'analisi di vulnerabilità in u scanner antivirus Avast in un ambiente basatu in Linux.
Source: opennet.ru