快照模糊测试：内核级测试的新篇章

今天，我们宣布在Trail of Bits测试手册的模糊测试章节中新增重要内容：快照模糊测试。这项强大技术使安全工程师能够有效测试传统上难以分析的软件，例如内核、安全监视器和其他需要复杂设置的目标。无论您是审计驱动程序还是其他内核模式组件（包括防病毒软件），快照模糊测试都提供了发现关键漏洞的可靠方法。请查阅我们新的测试手册章节，了解如何在系统上执行快照模糊测试的详细指南。

为什么内核级测试至关重要

内核模式软件带来独特的安全挑战。这些组件（尤其是防病毒软件）在操作系统最高权限级别运行，能够无限制地监控和拦截系统范围的活动。这种高权限伴随着高风险——单个崩溃可能导致整个系统瘫痪，此级别的内存损坏漏洞被利用时可能造成严重后果。这种风险意味着测试至关重要，但传统测试方法存在显著局限性：

• 内核组件的系统范围影响阻止测试用例的隔离
• 基于虚拟机的调试器测试速度慢且繁琐
• libFuzzer和AFL等模糊测试工具只能测试提取的函数，因此会错过系统范围的交互
• 黑盒方法使许多传统测试技术难以实施

快照模糊测试的登场

快照模糊测试没有传统测试方法的局限性。该技术捕获特定执行点的内存和寄存器状态，允许模糊测试器从该精确状态重复恢复和测试。这提供了几个主要优势：

• 测试速度极快。因为只测试系统状态的快照，软件无需每次运行都启动。例如，您可以在文件加载点创建快照，并从该状态测试数千种变体，其中数据正在被处理。
• 相同输入产生相同结果，因为每个测试都从相同的系统状态开始。这消除了经常困扰内核测试的不可预测行为（例如不可重现的崩溃）。
• 通过Lighthouse覆盖率浏览器等工具，可以实现精确的崩溃检测和可视化支持。
• 提供对代码覆盖率和脏内存的全面跟踪支持。

新测试手册内容

在我们测试手册中关于快照模糊测试的新章节中，我们将实际经验提炼成超越基础文档的实用指南。内容反映了我们在安全审计过程中遇到的实际挑战和解决方案。

新章节演示了使用what the fuzz (wtf)开源模糊测试器进行快照模糊测试。该工具允许用户专注于编写特定目标的测试套件，而不是从头开始构建快照模糊测试器的艰巨任务。

我们使用wtf进行快照模糊测试的逐步指南将帮助您通过以下步骤入门：

• 创建具有用户空间通信的示例Windows内核驱动程序
• 为装有Windows 11的虚拟机捕获系统快照
• 开发钩取特定条件的测试套件
• 运行模糊测试活动以识别内核恐慌

正在为内核级安全测试而苦恼？我们的专家可以帮助您为特定环境实施适当的模糊测试。联系我们了解更多信息。

如果您喜欢这篇文章，请分享： Twitter LinkedIn GitHub Mastodon Hacker News

页面内容

为什么内核级测试至关重要 快照模糊测试的登场 新测试手册内容 近期文章 构建安全消息传递很难：对Bitchat安全辩论的细致解读 使用Deptective调查您的依赖项 系好安全带，Buttercup，AIxCC的评分轮正在进行中！ 使您的智能合约超越私钥风险 Go解析器中意想不到的安全隐患 © 2025 Trail of Bits. 使用Hugo和Mainroad主题生成。