Тавис Орманди (), жобаны әзірлеуші Google компаниясының қауіпсіздік зерттеушісі , Linux қолданбаларында пайдалану үшін Windows үшін құрастырылған DLL файлдарын тасымалдауға бағытталған. Жоба DLL файлын PE/COFF пішімінде жүктеп алуға және онда анықталған функцияларды шақыруға болатын қабат кітапханасын ұсынады. PE/COFF жүктеушісі кодқа негізделген . Жоба коды GPLv2 бойынша лицензияланған.
LoadLibrary кітапхананы жадқа жүктеуді және бар таңбаларды импорттауды қамтамасыз етеді, Linux қолданбасын dlopen стиліндегі API қамтамасыз етеді. Қосылатын модуль кодын gdb, ASAN және Valgrind арқылы жөндеуге болады. Орындалатын кодты ілмектерді қосу және патчтарды қолдану (орындалу уақытын түзету) арқылы реттеуге болады. C++ үшін ерекше жағдайларды өңдеуді және ашуды қолдайды.
Жобаның мақсаты Linux негізіндегі ортада DLL кітапханаларының масштабталатын және тиімді таратылған тесілуін ұйымдастыру болып табылады. Windows жүйесінде күңгірттеу және қамтуды тексеру өте тиімді емес және көбінесе Windows жүйесінің бөлек виртуалдандырылған данасын іске қосуды қажет етеді, әсіресе ядро мен пайдаланушы кеңістігін қамтитын антивирустық бағдарламалық құрал сияқты күрделі өнімдерді талдауға тырысқанда. LoadLibrary көмегімен Google зерттеушілері бейне кодектердегі, вирус сканерлеріндегі, деректерді декомпрессиялық кітапханалардағы, кескін декодерлерімен және т.б. осалдықтарды іздейді.
Мысалы, LoadLibrary көмегімен біз Linux жүйесінде жұмыс істеу үшін Windows Defender антивирустық қозғалтқышын тасымалдай алдық. Windows Defender негізін құрайтын mpengine.dll файлын зерттеу әртүрлі пішімдерге арналған күрделі процессорлардың үлкен санын, файлдық жүйе эмуляторларын және векторларды әлеуетті түрде қамтамасыз ететін тіл интерпретаторларын талдауға мүмкіндік берді. .
LoadLibrary анықтау үшін де пайдаланылды Avast антивирус пакетінде. Осы антивирустың DLL файлын зерттеген кезде, негізгі артықшылықты сканерлеу процесінде үшінші тарап JavaScript кодының орындалуын эмуляциялау үшін пайдаланылатын толыққанды JavaScript аудармашысы бар екені анықталды. Бұл процесс құм жәшігінде оқшауланбайды, артықшылықтарды қалпына келтірмейді және файлдық жүйеден және ұсталған желілік трафиктен тексерілмеген сыртқы деректерді талдайды. Бұл күрделі және қорғалмаған процестегі кез келген осалдық бүкіл жүйенің қашықтан бұзылуына әкелуі мүмкін болғандықтан, LoadLibrary негізінде арнайы қабық әзірленді. Linux негізіндегі ортада Avast антивирус сканеріндегі осалдықтарды талдау үшін.
Ақпарат көзі: opennet.ru