JT Ormandy, bezpečnostný výskumník spoločnosti Google, oznámil to pred niekoľkými dňami vývoj projektu LoadLibrary, ktorý je určené na načítanie knižníc Windows DLL na použitie v aplikáciách Linux. Projekt poskytuje medzivrstvovú knižnicu, pomocou ktorej môžete načítať DLL vo formáte PE / COFF a volať v nich definované funkcie.
LoadLibrary preberá funkciu načítania knižnice do pamäte a importu existujúcich znakov, poskytnutie aplikácie pre Linux rozhraním API typu dlopen. Kód je možné odladiť pomocou nástrojov gdb, ASAN a Valgrind. Spustiteľný kód môžete vyladiť za behu programu pripojením háčikov a použitím opráv (runtime patch). Pre C ++ sú povolené nežiaduce výnimky.
Projekt LoadLibrary zámerom nie je nahradiť súčasné projekty ktorí vykonávajú podobnú prácu, napríklad Wine. Cieľom LoadLibrary je umožniť načítanie a prístup k knižniciam Windows DLL a prístup k nim, pretože budú natívnym kódom systému Linux. Nesnaží sa spustiť systém Windows v systéme Linux a iných podobných programoch, ale iba načítaním knižníc.
Cieľom projektu je organizovať škálovateľné distribuované fuzzovacie testy a efektívne súbory DLL v prostredí založenom na systéme Linux.
V systéme Windows neumožňuje fúzovanie a testovanie pokrytia dostatočný výkon a často vyžaduje spustenie samostatnej virtualizovanej inštancie systému Windows, najmä pokiaľ ide o analýzu sofistikovaných produktov, ako je antivírusový softvér, ktoré pokrývajú prácu na úrovni jadra a užívateľského priestoru.
Zámerom pokračovania vo vývoji tohto projektu je umožniť škálovateľné a efektívne šírenie samostatných knižníc Windows v systéme Linux.
- Odosielanie a odvíjanie výnimiek v C ++.
- Načítavajú sa ďalšie symboly IDA.
- Ladenie pomocou gdb (vrátane symbolov), bodov prerušenia, sledovania zásobníka atď.
- Runtime zahnutý a opravený.
- Podpora ASAN a Valgrind na detekciu jemných chýb poškodenia pamäte.
- Ak potrebujete pridať podporu pre akýkoľvek externý import, písanie stubov je zvyčajne rýchle a ľahké.
S pomocou LoadLibrary, Výskumníci Google hľadajú zraniteľné miesta vo video kodekoch, antivírusové skenery, knižnice dekompresie údajov, dekodéry obrázkov atď.
„Distribuované a škálovateľné streamovanie v systéme Windows môže byť náročné a neefektívne, to platí najmä pre produkty zabezpečenia koncových bodov, ktoré používajú zložité vzájomne prepojené komponenty, ktoré preklenujú jadro a užívateľský priestor.
To si vo všeobecnosti vyžaduje pre vysielanie rotáciu celého prostredia virtualizovaného systému Windows. to v systéme Linux nie je menším problémom a zistil som, že je často možné preniesť komponenty z antivírusových produktov systému Windows na systém linux, čo mi umožňuje spustiť testovaný kód v minimálnych kontajneroch s veľmi malou réžiou a ľahko rozšíriť testy.
Napr pomocou LoadLibrary bolo možné preniesť antivírus Windows Defender bežať na Linuxe. Štúdia mpengine.dll, ktorá tvorí základ programu Windows Defender, nám umožnila analyzovať veľké množstvo komplikovaných ovládačov rôznych formátov, emulátorov FS a jazykových tlmočníkov, ktoré potenciálne poskytujú vektory možných útokov.
LoadLibrary tiež sa použila na identifikáciu vzdialenej zraniteľnosti v antivírusovom balíku Avast.
Štúdiom DLL tohto antivírusu sa odhalilo, že proces kľúčového privilegovaného skenovania obsahuje kompletný tlmočník JavaScriptu, ktorý sa používa na emuláciu vykonávania kódu JavaScript tretej strany.
Tento proces nie je izolovaný v prostredí karantény, neresetuje privilégiá a analyzuje neoverené externé údaje FS a zachytenú sieťovú prevádzku.
Pretože akákoľvek zraniteľnosť v tomto komplikovanom a nezabezpečenom procese by mohla viesť k vzdialenému kompromisu celého systému, bol na základe LoadLibrary vyvinutý špeciálny avscriptový shell na skenovanie zraniteľností v antivírusovom skeneri Avast v prostredí založenom na Linuxe.
Nakladač PE / COFF je založený na kóde ndiswrapper. Kód projektu sa distribuuje pod licenciou GPLv2. Kód je k nahliadnutiu Na nasledujúcom odkaze.
Každý, kto sa poserie, bol už povedal, nezabudnite na toaletný papier