Tavis Ormandy (
LoadLibrary zajmuje się ładowaniem biblioteki do pamięci i importowaniem istniejących symboli, udostępniając aplikacji Linux API w stylu dlopen. Kod wtyczki można debugować za pomocą gdb, ASAN i Valgrind. Możliwe jest dostosowanie kodu wykonywalnego podczas wykonywania poprzez łączenie haków i nakładanie łatek (łatanie w czasie wykonywania). Obsługuje obsługę wyjątków i odwijanie dla C++.
Celem projektu jest zorganizowanie skalowalnych i wydajnych rozproszonych testów fuzzingowych bibliotek DLL w środowisku opartym na systemie Linux. W systemie Windows testowanie fuzzingu i pokrycia nie jest zbyt wydajne i często wymaga uruchomienia osobnej, zwirtualizowanej instancji systemu Windows, szczególnie podczas próby analizy złożonych produktów, takich jak oprogramowanie antywirusowe, obejmujących jądro i przestrzeń użytkownika. Korzystając z LoadLibrary, badacze Google szukają luk w zabezpieczeniach kodeków wideo, skanerów antywirusowych, bibliotek dekompresji danych, dekoderów obrazów itp.
Na przykład za pomocą LoadLibrary mogliśmy przenieść silnik antywirusowy Windows Defender do pracy w systemie Linux. Badanie pliku mpengine.dll, który stanowi podstawę programu Windows Defender, umożliwiło przeanalizowanie dużej liczby zaawansowanych procesorów dla różnych formatów, emulatorów systemów plików i interpreterów języków, które potencjalnie udostępniają wektory dla
Do identyfikacji wykorzystano również LoadLibrary
Źródło: opennet.ru