Tavis Ormandy (), loyihani ishlab chiqayotgan Google kompaniyasining xavfsizlik bo'yicha tadqiqotchisi , Linux ilovalarida foydalanish uchun Windows uchun tuzilgan DLL-larni ko'chirishga qaratilgan. Loyiha qatlam kutubxonasini taqdim etadi, uning yordamida siz DLL faylini PE/COFF formatida yuklashingiz va unda belgilangan funksiyalarni chaqirishingiz mumkin. PE/COFF bootloader kodga asoslangan . Loyiha kodi GPLv2 ostida litsenziyalangan.
LoadLibrary kutubxonani xotiraga yuklash va mavjud belgilarni import qilish bilan shug'ullanadi, Linux ilovasini dlopen uslubidagi API bilan ta'minlaydi. Plagin kodini gdb, ASAN va Valgrind yordamida tuzatish mumkin. Ilgaklarni ulash va yamoqlarni qo'llash orqali bajariladigan kodni bajarish vaqtida sozlash mumkin (ish vaqtini tuzatish). C++ uchun istisnolardan foydalanish va ochishni qo'llab-quvvatlaydi.
Loyihaning maqsadi Linux-ga asoslangan muhitda DLL kutubxonalarining kengaytiriladigan va samarali taqsimlangan fuzzing testini tashkil qilishdir. Windows-da fuzzing va qamrovni tekshirish unchalik samarali emas va ko'pincha Windows-ning alohida virtuallashtirilgan nusxasini ishga tushirishni talab qiladi, ayniqsa yadro va foydalanuvchi maydonini qamrab oluvchi antivirus dasturlari kabi murakkab mahsulotlarni tahlil qilishga urinayotganda. LoadLibrary-dan foydalanib, Google tadqiqotchilari video kodeklar, virus skanerlari, ma'lumotlarni dekompressiyalash kutubxonalari, tasvir dekoderlari va boshqalardagi zaifliklarni qidirmoqdalar.
Masalan, LoadLibrary yordamida biz Windows Defender antivirus dvigatelini Linuxda ishlash uchun portga o'tkaza oldik. Windows Defender asosini tashkil etuvchi mpengine.dll ni o'rganish turli formatlar uchun juda ko'p murakkab protsessorlarni, fayl tizimi emulyatorlarini va potentsial vektorlarni ta'minlaydigan til tarjimonlarini tahlil qilish imkonini berdi. .
LoadLibrary ham aniqlash uchun ishlatilgan Avast antivirus paketida. Ushbu antivirusdan DLL-ni o'rganishda, asosiy imtiyozli skanerlash jarayoni uchinchi tomon JavaScript kodining bajarilishini taqlid qilish uchun ishlatiladigan to'liq huquqli JavaScript tarjimonini o'z ichiga olganligi aniqlandi. Bu jarayon sandbox muhitida izolyatsiya qilinmaydi, imtiyozlarni tiklamaydi va fayl tizimidan tekshirilmagan tashqi ma'lumotlarni va tutilgan tarmoq trafigini tahlil qiladi. Ushbu murakkab va himoyalanmagan jarayondagi har qanday zaiflik butun tizimning uzoqdan buzilishiga olib kelishi mumkinligi sababli, LoadLibrary asosida maxsus qobiq ishlab chiqilgan. Linux-ga asoslangan muhitda Avast antivirus skaneridagi zaifliklarni tahlil qilish.
Manba: opennet.ru