IoSpy
Observação
IoSpy e IoAttack não estão mais disponíveis no WDK após Windows 10 versão 1703.
Como alternativa a essas ferramentas, considere usar os testes de fuzzing disponíveis no HLK. Aqui estão alguns a considerar.
DF – Teste de IOCTL aleatório do Fuzz (Confiabilidade)
DF – Teste de sub-abertura do Fuzz (Confiabilidade)
DF – Teste FSCTL do buffer de comprimento zero do Fuzz (Confiabilidade)
DF – Teste FSCTL aleatório do Fuzz (Confiabilidade)
DF – Teste de API do Fuzz Misc (Confiabilidade)
Você também pode usar o fuzzing de atraso de sincronização do Kernel incluído no Verificador de Driver.
O IoSpy é um driver de filtro que registra dados sobre solicitações IOCTL e WMI feitas ao driver do modo kernel de um dispositivo.
Você pode instalar e remover o IoSpy usando os testes de Testes de Penetração (Conceitos Básicos do Dispositivo ), Habilitar Espião de E/S e Desabilitar Espião de E/S. O parâmetro DQ controla em quais dispositivos o driver de filtro IoSpy está instalado. O IoSpy registra os detalhes sobre as solicitações IOCTL e WMI no arquivo de dados IoSpy, que é usado por IoAttack para executar os testes de fuzz.
Importante Antes de executar o IoAttack, você deve ter executado anteriormente o IoSpy e, em seguida, removido do sistema de teste. Para obter mais informações, confira Como executar testes do Fuzz com IoSpy e IoAttack.
| Termo | Descrição |
|---|---|
Desabilitar o Espião de E/S |
Desabilite o Spy de E/S em 1 ou mais dispositivos. Desinstala o IoSpy e desabilita a filtragem de IOCTL e WMI para todos os dispositivos no sistema de teste. Testar binário: Devfund_IOSpy_DisableSupport.wsc Método de teste: DisableIoSpy Parâmetros: - consulte Parâmetros de teste de conceitos básicos do dispositivo DQ |
Exibir dispositivo habilitado para Espião de E/S |
Exibir dispositivos que têm o Espião de E/S habilitado neles. Testar binário: Devfund_IOSpy_DisplayEnabledDevices.wsc Método de teste: DisplayIoSpyDevices |
Habilitar o Espião de E/S |
Instala o IoSpy no sistema de teste e habilita a filtragem de IOCTL e WMI em um ou mais dispositivos. O parâmetro DQ controla em quais dispositivos o driver de filtro IoSpy será instalado. Testar binário: Devfund_IOSpy_EnableSupport.wsc Método de teste: EnableIoSpy Parâmetros: - consulte Parâmetros de teste de conceitos básicos do dispositivo DQ DFD – especifica o caminho para o arquivo de dados IoSpy. O local padrão é %SystemDrive%\DriverTest\IoSpy |
Arquivo de dados IoSpy
Depois que o IoSpy é instalado em um sistema de teste, ele registra os dados enviados por meio de solicitações IOCTL e WMI para os drivers para dispositivos habilitados para testes de fuzz. Embora o IoSpy não analise as cargas dessas solicitações, ele registra os detalhes das solicitações, como o comprimento dos buffers de carga.
O parâmetro DFD para o teste Habilitar Espião de E/S especifica o caminho para o arquivo de dados IoSpy. O local padrão é %SystemDrive%\DriverTest\IoSpy