关于VirtFuzz

VirtFuzz是一款功能强大的Linux内核模糊测试工具，该工具使用LibAFL构建，可以利用VirtIO向目标设备的内核子系统提供输入测试用例，广大研究人员可以使用该工具测试Linux内核的安全性。

工具要求

1、Rust；

2、修补的QEMU；

3、Linux虚拟机系统镜像；

4、修补的内核；

环境配置

修补的QEMU

针对VirtIO设备的QEMU构建命令如下（QEMU构建方式请参考这篇【文档】）：

curl https://download.qemu.org/qemu-8.2.2.tar.xz -o qemu.tar.xz

tar xvJf qemu.tar.xz

mv qemu-8.2.2 qemu

cd qemu

patch -p1 < $SCRIPT_DIR/../qemu-patch.patch

mkdir build

cd build

../configure --target-list=x86_64-softmmu

make -j$(nproc)

Debian虚拟机镜像

下列命令使用了Syzkaller的脚本，可以使用下列命令创建一个虚拟机访客镜像：

cd guestimage

./create-image.sh -d stretch

修补的内核

最后，VirtFuzz的正常工作还需要一个修补的内核，因此，我们可以拉取一个内核版本并应用我们的补丁。参考命令如下：

git clone git://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git

cd linux

git checkout v6.0

../virtfuzz/kernel-patches/apply.sh

# Depending on the target, apply the patches to annotate for a specific device

../virtfuzz/kernel-patches/annotate-80211.sh

 

# Make the config

make x86_64_defconfig

make kvm_guest.config

scripts/kconfig/merge_config.sh -m .config ../virtfuzz/kernel-config/base.config

 

# For example enable KASAN

scripts/kconfig/merge_config.sh -m .config ../virtfuzz/kernel-config/kasan.config

make olddefconfig

make -j$(nproc)

工具下载

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/seemoo-lab/VirtFuzz.git

工具使用

项目克隆至本地后，我们将能够获取到下列工具组件：

1、virtfuzz-fuzz：模糊测试器

2、virtfuzz-proxy：代理

3、virtfuzz-replay：一些实用脚本

模糊测试器使用

下列命令可以查看工具的所有参数选项：

cargo run --release --bin virtfuzz-fuzz

比如说，我们可以使用下列命令对WLAN栈执行模糊测试：

export QEMU=PATH_TO-qemu-system-x86_64

export IMAGE=guestimage/stretch.img

export KERNEL=PATH_TO/linux/arch/x86/boot/bzImage

cargo run --release --package virtfuzz-fuzz -- --device-definition device-definitions/hwsim-scan.json --cores 0-1 --stages standard

此时，模糊测试器会通过mac802.11_hwsim驱动程序对802.11栈运行两个测试实例。

下列命令可以查看工具的帮助信息：

cargo run --release --package virtfuzz-fuzz -- --help

模糊测试选项

在开发过程中，我们还提供了一些选项来支持自定义模糊测试任务。

选择一个目标

工具还支持使用--device-definition参数给模糊测试器传递一个包含了设备定义的JSON文件，如果想使用预构建的设备定义文件，可以直接使用--device参数：

-d, --device <DEVICE>

--device-definition <DEVICE_DEFINITION>

跟踪比较

--stages参数可以选择测试覆盖率，可选项为standard（AFL-Map风格）或cmplog（跟踪比较）：

-s, --stages <STAGES>

其他

某些子系统（例如蓝牙子系统）可能会在处于完全可用状态之前进行初始化，并与硬件交换某些信息。为了提升模糊测试的速度，我们可以给工具提供一个包含了已记录初始化数据的PCAP文件：

--init-path <INIT_PATH>

下列命令可以在开始模糊测试前等待虚拟机发送第一帧：

--wait-for-rx

执行下列命令后，如果虚拟机发送了一个命令，模糊测试器会伪造一个命令执行完成的消息：

--bt-fake-cc

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可协议。

项目地址

VirtFuzz：【GitHub传送门】

参考资料

GitHub - AFLplusplus/LibAFL: Advanced Fuzzing Library - Slot your Fuzzer together in Rust! Scales across cores and machines. For Windows, Android, MacOS, Linux, no_std, ...

CSDL | IEEE Computer Society

syzkaller/tools/create-image.sh at master · google/syzkaller · GitHub