JT ओरमंडी एक Google सुरक्षा शोधकर्ता, रिहा कुछ दिनों पहले परियोजना का विकास LoadLibrary, जो है लिनक्स अनुप्रयोगों में उपयोग के लिए विंडोज डीएलएल पुस्तकालयों को लोड करने का इरादा है। परियोजना एक क्रॉस-लेयर लाइब्रेरी प्रदान करती है जिसके साथ आप PE / COFF प्रारूप में DLL लोड कर सकते हैं और इसमें परिभाषित फ़ंक्शन को कॉल कर सकते हैं।
LoadLibrary पुस्तकालय को स्मृति में लोड करने और मौजूदा वर्णों को आयात करने का कार्य करता है, एक dlopen- शैली एपीआई के साथ लिनक्स अनुप्रयोग प्रदान करना। कोड को gdb, ASAN और Valgrind का उपयोग करके डीबग किया जा सकता है। आप हुक लगाकर और पैच (रनटाइम पैच) लगाकर रनटाइम पर निष्पादन योग्य कोड को ट्यून कर सकते हैं। C ++ के लिए अवांछित अपवाद की अनुमति है।
LoadLibrary प्रोजेक्ट वर्तमान परियोजनाओं को बदलने का इरादा नहीं है इसी तरह के काम करते हैं, जैसे शराब। LoadLibrary का उद्देश्य विंडोज़ डीएलएल पुस्तकालयों को लोड करने और एक्सेस करने की अनुमति देना है क्योंकि वे मूल लिनक्स कोड होंगे, जो लिनक्स और अन्य समान कार्यक्रमों पर विंडोज चलाने की कोशिश नहीं कर रहे हैं, लेकिन बस पुस्तकालयों को लोड करना है।
परियोजना का उद्देश्य स्केलेबल वितरित फजी परीक्षण का आयोजन करना है और लिनक्स आधारित वातावरण में कुशल DLL फाइलें।
विंडोज पर, फ़ज़िंग और कवरेज परीक्षण पर्याप्त प्रदर्शन की अनुमति नहीं देता है और अक्सर विंडोज के एक अलग वर्चुअलाइज्ड इंस्टेंस को लॉन्च करने की आवश्यकता होती है, खासकर जब यह परिष्कृत उत्पादों का विश्लेषण करने की बात आती है, जैसे एंटीवायरस सॉफ़्टवेयर, जो कर्नेल और उपयोगकर्ता स्थान पर काम कवर करते हैं।
इस परियोजना के विकास को जारी रखने का इरादा लिनक्स पर स्टैंडअलोन विंडोज लाइब्रेरी के स्केलेबल और कुशल प्रसार को सक्षम करना है।
- सी ++ अपवाद प्रेषण और खोलना।
- अतिरिक्त आईडीए प्रतीक लोड हो रहे हैं।
- जीडीबी (प्रतीकों सहित), ब्रेकपॉइंट, स्टैक निशान आदि के साथ डिबगिंग।
- रनटाइम हुक और पैच।
- सूक्ष्म स्मृति भ्रष्टाचार त्रुटियों का पता लगाने के लिए ASAN और Valgrind के लिए समर्थन।
- यदि आपको किसी बाहरी आयात के लिए समर्थन जोड़ने की आवश्यकता है, तो स्टब्स लिखना आमतौर पर त्वरित और आसान है।
LoadLibrary की मदद से, Google के शोधकर्ता वीडियो कोडेक्स में कमजोरियों की तलाश कर रहे हैं, एंटीवायरस स्कैनर, डेटा अपघटन पुस्तकालय, छवि डिकोडर, आदि।
“खिड़कियों में वितरित और स्केलेबल स्ट्रीमिंग चुनौतीपूर्ण और अक्षम हो सकती है, यह विशेष रूप से एंडपॉइंट सुरक्षा उत्पादों के लिए सही है, जो कि जटिल इंटरकनेक्टेड घटकों का उपयोग करते हैं जो कोर और उपयोगकर्ता स्थान का विस्तार करते हैं।
यह आम तौर पर प्रसारण के लिए एक पूरे वर्चुअलाइज्ड विंडोज़ वातावरण को घुमाने की आवश्यकता होती है। यह linux पर एक समस्या से कम है, और मैंने पाया है कि विंडोज़ एंटीवायरस उत्पादों से घटकों को linux में पोर्ट करना अक्सर संभव होता है, जिससे मुझे कम से कम कंटेनरों में परीक्षण कर रहा कोड बहुत कम ओवरहेड के साथ चलाने और आसानी से परीक्षण का विस्तार करने की अनुमति मिलती है।
उदाहरण के LoadLibrary का उपयोग करते हुए, विंडोज डिफेंडर एंटीवायरस को पोर्ट करना संभव था लिनक्स पर चलाने के लिए। Mpengine.dll का अध्ययन, जो विंडोज डिफेंडर का आधार बनता है, ने हमें विभिन्न स्वरूपों के जटिल ड्राइवरों, एफएस एमुलेटर और भाषा दुभाषियों की एक बड़ी संख्या का विश्लेषण करने की अनुमति दी है जो संभावित हमलों के लिए संभावित रूप से वैक्टर प्रदान करते हैं।
LoadLibrary इसका उपयोग अवास्ट एंटीवायरस पैकेज में एक दूरस्थ भेद्यता की पहचान करने के लिए भी किया गया था.
इस एंटीवायरस के डीएलएल का अध्ययन करके, यह पता चला था कि प्रमुख विशेषाधिकार प्राप्त स्कैन प्रक्रिया में तृतीय-पक्ष जावास्क्रिप्ट कोड के निष्पादन का अनुकरण करने के लिए उपयोग किया जाने वाला एक पूर्ण जावास्क्रिप्ट दुभाषिया शामिल है।
यह प्रक्रिया सैंडबॉक्स वातावरण में पृथक नहीं है, विशेषाधिकारों को रीसेट नहीं करती है, और असत्यापित बाहरी एफएस डेटा और इंटरसेप्टेड नेटवर्क ट्रैफ़िक का विश्लेषण करती है।
चूंकि इस जटिल और असुरक्षित प्रक्रिया में कोई भी भेद्यता पूरे सिस्टम के दूरस्थ समझौते को जन्म दे सकती है, इसलिए लिनक्स-आधारित वातावरण में अवास्ट एंटीवायरस स्कैनर में भेद्यता को स्कैन करने के लिए लोडलिफ्ट के आधार पर एक विशेष एविस्क्रिप्ट शेल विकसित किया गया था।
PE / COFF लोडर ndiswrapper कोड पर आधारित है। प्रोजेक्ट कोड GPLv2 लाइसेंस के तहत वितरित किया गया है। कोड से परामर्श किया जा सकता है निम्नलिखित लिंक में
सभी को डीएलटी करने के लिए कहा गया है, टॉयलेट पेपर को मत भूलना