Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle se déroulera à Rennes du 3 au 5 juin 2020.

Fuzz and Profit with WHVPDamien Aumaitre


Date : 04 juin 2020 à 14:30 — 30 min.

Comment fuzzer du code kernel Windows avec la même facilité que lorsqu'on utilise AFL ? En 2017, Microsoft a introduit une API nommée WHVP (Windows Hypervisor Platform) permettant de contrôler finement et facilement des partitions Hyper-V. Nous allons nous servir de cette API pour créer dynamiquement des machines virtuelles spécialisées dans l'exécution d'une fonction précise du noyau Windows. Grâce à celles-ci nous verrons comment obtenir simplement des traces d'exécution. Nous verrons aussi comment nous pouvons nous servir de ces traces d'exécution pour construire un fuzzer à couverture de code qui nous permettra d'exécuter notre cible plusieurs milliers de fois par seconde.