Tavis Ormandië (
LoadLibrary zorgt voor het laden van de bibliotheek in het geheugen en het importeren van bestaande symbolen, waardoor de Linux-applicatie wordt voorzien van een dlopen-stijl API. De plug-incode kan worden gedebugd met behulp van gdb, ASAN en Valgrind. Het is mogelijk om tijdens de uitvoering de uitvoerbare code aan te passen door hooks te verbinden en patches toe te passen (runtime patching). Ondersteunt het afhandelen en afwikkelen van uitzonderingen voor C++.
Het doel van het project is het organiseren van schaalbare en efficiënte gedistribueerde fuzzing-tests van DLL-bibliotheken in een Linux-gebaseerde omgeving. Op Windows zijn fuzzing- en dekkingstests niet erg efficiënt en vereisen vaak het uitvoeren van een afzonderlijk gevirtualiseerd exemplaar van Windows, vooral wanneer u complexe producten probeert te analyseren, zoals antivirussoftware die de kernel en de gebruikersruimte omspant. Met behulp van LoadLibrary zoeken Google-onderzoekers naar kwetsbaarheden in videocodecs, virusscanners, data-decompressiebibliotheken, beelddecoders, enz.
Met de hulp van LoadLibrary konden we bijvoorbeeld de Windows Defender-antivirusengine overzetten naar Linux. De studie van mpengine.dll, die de basis vormt van Windows Defender, maakte het mogelijk een groot aantal geavanceerde processors voor verschillende formaten, bestandssysteememulators en taaltolken te analyseren die mogelijk vectoren leveren voor
LoadLibrary werd ook gebruikt om te identificeren
Bron: opennet.ru