Tavis Ormandy (), e Sécherheetsfuerscher bei Google, deen de Projet entwéckelt , gezielt fir DLLs fir Windows kompiléiert ze portéieren fir an Linux Uwendungen ze benotzen. De Projet bitt eng Layerbibliothéik mat där Dir eng DLL-Datei am PE / COFF-Format luede kënnt an d'Funktiounen nennen, déi an deem definéiert sinn. PE / COFF Bootloader baséiert op Code . Projet Code lizenzéiert ënner GPLv2.
LoadLibrary këmmert sech ëm d'Bibliothéik an d'Erënnerung ze lueden an existéierend Symboler z'importéieren, d'Linux-Applikatioun mat engem dlopen-Stil API ze bidden. De Plug-in Code kann mat gdb, ASAN a Valgrind debugged ginn. Et ass méiglech den ausführbare Code wärend der Ausféierung unzepassen andeems Haken verbannen an Patches applizéieren (Runtime Patching). Ënnerstëtzt Ausnahmshandhabung an Ofwindung fir C ++.
D'Zil vum Projet ass skalierbar an effizient verdeelt Fuzzing Tester vun DLL Bibliothéiken an engem Linux-baséierten Ëmfeld z'organiséieren. Op Windows, Fuzzing an Ofdeckungstesten ass net ganz effizient a erfuerdert dacks eng separat virtualiséiert Instanz vu Windows, besonnesch wann Dir probéiert komplex Produkter wéi Antivirus Software ze analyséieren déi de Kernel a Benotzerraum spanen. Mat LoadLibrary sichen Google Fuerscher no Schwachstelle bei Videocodecs, Virusscanner, Datekompressiounsbibliothéiken, Bilddekoderen, etc.
Zum Beispill, mat der Hëllef vu LoadLibrary konnte mir den Windows Defender Antivirus-Moteur portéieren fir op Linux ze lafen. D'Studie vu mpengine.dll, déi d'Basis vum Windows Defender bildt, huet et méiglech gemaach eng grouss Zuel vu sophistikéierte Prozessoren fir verschidde Formater, Dateiesystememulatoren a Sproochen Dolmetscher ze analyséieren, déi potenziell Vektore fir .
LoadLibrary gouf och benotzt fir z'identifizéieren am Avast Antivirus Package. Wann Dir d'DLL vun dësem Antivirus studéiert, gouf opgedeckt datt de Schlëssel privilegiéierte Scannerprozess e vollwäertege JavaScript Dolmetscher enthält deen benotzt gëtt fir d'Ausféierung vun Drëtt Partei JavaScript Code ze emuléieren. Dëse Prozess ass net an engem Sandbox Ëmfeld isoléiert, setzt keng Privilegien zréck, an analyséiert onverifizéiert extern Donnéeën aus dem Dateiesystem an ofgefaangen Netzwierkverkéier. Well all Schwachstelle an dësem komplexen an ongeschützte Prozess potenziell zu Remote Kompromëss vum ganze System kéint féieren, gouf eng speziell Shell entwéckelt baséiert op LoadLibrary fir Schwachstelle am Avast Antivirus Scanner an engem Linux-baséierten Ëmfeld ze analyséieren.
Source: opennet.ru