Tavis Ormandy (), öryggisfræðingur hjá Google sem er að þróa verkefnið , sem miðar að því að flytja saman fyrir Windows DLL bókasöfn til notkunar í forritum fyrir LinuxVerkefnið býður upp á lagasafn sem hægt er að nota til að hlaða PE/COFF DLL skrá og kalla á föllin sem eru skilgreind í henni. PE/COFF hleðslutækið byggir á kóðanum . Verkefnakóði leyfi samkvæmt GPLv2.
LoadLibrary sér um að hlaða bókasafninu inn í minni og flytja inn núverandi tákn, sem veitir Linux- API í dlopen-stíl fyrir forritið. Hægt er að kemba meðfylgjandi kóða með gdb, ASAN og Valgrind. Hægt er að aðlaga keyrslutímakóða með því að nota hooks og keyrslutímauppfærslur. Undantekningarmeðhöndlun og afritun eru studd fyrir C++.
Markmið verkefnisins er að skipuleggja stigstærðar og skilvirkar dreifðar fuzzing prófanir á DLL bókasöfnum í umhverfi sem byggir á Linux. Í Windows Að framkvæma fuzzing- og þekjuprófanir gerir það ekki kleift að ná þeirri skilvirkni sem krafist er og krefst oft þess að ræsa sérstakt sýndartilvik. Windows, sérstaklega þegar reynt er að greina flóknar vörur, eins og vírusvarnarhugbúnað, sem nær yfir bæði kjarna- og notendarýmisvirkni. Með því að nota LoadLibrary leita vísindamenn Google að veikleikum í myndbandskóðum, vírusvarnarskönnum, gagnaþjöppunarbókasöfnum, myndafkóðurum og fleiru.
Til dæmis, með því að nota LoadLibrary, var hægt að flytja það til að keyra í Linux vírusvarnarvél Windows Defender. Rannsókn á mpengine.dll, sem er grunnurinn að því. Windows Defender gerði það mögulegt að greina fjölda flókinna meðhöndlunarforrita af ýmsum sniðum, skráarkerfishermira og tungumálatúlka sem hugsanlega veita vektora fyrir .
LoadLibrary var einnig notað til að auðkenna í Avast vírusvarnarpakkanum. Þegar DLL frá þessu vírusvarnarefni var rannsakað, kom í ljós að lykilforréttindaskönnunarferlið felur í sér fullgildan JavaScript túlk sem notaður er til að líkja eftir keyrslu á JavaScript kóða frá þriðja aðila. Þetta ferli er ekki einangrað í sandkassaumhverfi, endurstillir ekki réttindi og greinir óstaðfest ytri gögn úr skráarkerfinu og stöðvuð netumferð. Þar sem hvers kyns varnarleysi í þessu flókna og óvarða ferli gæti hugsanlega leitt til fjarlægrar málamiðlunar á öllu kerfinu, var sérstök skel þróuð byggð á LoadLibrary að greina veikleika í Avast vírusvarnarforritinu í umhverfi byggt á Linux.
Heimild: opennet.ru
