Symposium sur la sécurité des technologies de l'information et des communications

Comment fuzzer du code kernel Windows avec la même facilité que lorsqu'on utilise AFL ? En 2017, Microsoft a introduit une API nommée WHVP (Windows Hypervisor Platform) permettant de contrôler finement et facilement des partitions Hyper-V. Nous allons nous servir de cette API pour créer dynamiquement des machines virtuelles spécialisées dans l'exécution d'une fonction précise du noyau Windows. Grâce à celles-ci nous verrons comment obtenir simplement des traces d'exécution. Nous verrons aussi comment nous pouvons nous servir de ces traces d'exécution pour construire un fuzzer à couverture de code qui nous permettra d'exécuter notre cible plusieurs milliers de fois par seconde.