塔维斯·奥曼迪(
LoadLibrary 负责将库加载到内存中并导入现有符号,为 Linux 应用程序提供 dlopen 风格的 API。 插件代码可以使用gdb、ASAN和Valgrind进行调试。 可以通过连接钩子和应用补丁(运行时修补)来在执行期间调整可执行代码。 支持 C++ 的异常处理和展开。
该项目的目标是在基于 Linux 的环境中组织 DLL 库的可扩展且高效的分布式模糊测试。 在 Windows 上,模糊测试和覆盖测试效率不是很高,通常需要运行单独的 Windows 虚拟化实例,尤其是在尝试分析跨内核和用户空间的防病毒软件等复杂产品时。 谷歌研究人员使用 LoadLibrary 来搜索视频编解码器、病毒扫描程序、数据解压缩库、图像解码器等中的漏洞。
例如,在 LoadLibrary 的帮助下,我们能够将 Windows Defender 防病毒引擎移植到 Linux 上运行。 对构成 Windows Defender 基础的 mpengine.dll 的研究使得分析大量复杂的各种格式处理器、文件系统模拟器和语言解释器成为可能,这些处理器可能为
LoadLibrary也被用来识别
来源: opennet.ru