AppVerifier 特别用于检测和帮助调试内存损坏、危险的安全漏洞以及受限的用户帐户特权问题。AppVerifier 有助于创建可靠且安全的应用程序,方法是监视应用程序与Windows操作系统的交互,并配置应用程序使用的对象、注册表、文件系统和 Win32 API(包括堆、句柄和锁)。AppVerifier 还包括检查,以便预测应用程序在非管理员环境中的执行情况。
1、 Appverifier原理
● AppVerifier的原理是hook分配和释放资源的API,在程序调用这些API时记录信息,在程序退出时报告出未释放的资源。
● 只能检测Native代码。
● 程序正常退出才行,强行杀进程不能得到正确的报告。
● 基于原理,只能做Run-time检测。尽量使用程序的所有功能已保证检测到更多代码。
2 Appverifier能识别的问题
● 应用程序正确地使用 API 的时刻:
● 不安全的 TerminateThread API。
● 正确使用线程本地存储(Thread Local Storage,TLS)API。
● 正确使用虚拟空间操作(例如,VirtualAlloc 和 MapViewOfFile)。
● 应用程序是否使用结构化的异常处理隐藏访问冲突。
● 应用程序是否试图使用无效的句柄。
● 堆中是否有内存损坏或存在内存问题。
● 应用程序是否在资源不足的情况下用尽了内存。
● 是否正确使用了临界区。
● 运行在管理员环境中的应用程序在具有较低特权的环境中是否能良好运行。
● 当应用程序作为受限用户运行时是否会存在潜在的问题。
● 在线程的上下文中,是否在将来的函数调用中会存在未初始化的变量。
3、 AppVerifier如何使用
在AppVerifier中增加需要验证的应用程序,对于开发人员,直接选择工程中输出的Debug版的可执行文件,可以添加多个文件,也可以添加动态库DLL。
AppVerifier大致可以验证异常、句柄、堆栈、内存、未初始化参数等多个方面的隐患,选择需要进行测试的项目,并保存设置。
AppVerifier可以命令行也可以UI界面运行,这里我们以UI界面运行为例:
1)、打开appverifier,选择File--Add Application添加应用程序;
添加应用程序完成后,需要在右方对话框选择你想要验证的问题:
1)Basic最基本的验证
● Exceptinons 防止程序做这样的操作,比如程序用异常捕获,以防止错误继续抛出。
● Handles 检测句柄错误
● Heaps 检测内存中的堆栈错误
● InputOutput 检测读写文件,读写网卡数据等的错误
● Locks 检测锁使用情况,确定应用程序是否正确的使用关键段
● Memory 检测应用程序虚拟内存使用情况
● ThreadPool 监控线程池使用,线程池的线程不应该被应用程序关闭
● Tls 检测线程局部存储api是否被正确使用
2)Compatibility 兼容性问题验证
● Filepaths 检测是否正常访问文件目录
● Highversionlie 验证应用程序是否正确检测windows版本
● InterActiveservices 检查一个程序是否运行为可桌面交互的服务,或者向可交互的用户桌面发送过数据。这样的应用程序可能会引发严重的安全问题。
● KernelModeDriverInstall 检测驱动程序安装
3)Low resources simulation 低资源情况下,如内存将耗尽,程序是否能正常运行。
4)Luapriv 检测程序在标准用户权限下是否能正常运行
5)Miscellaneous
● dangerousAPIs 检测应用程序是否使用了危险的API,如TerminateThread
● Dirtystacks 检测应用程序是否使用了未初始化的变量
● TimeRoleOver 模拟使GetTickCount and TimeGetTime APIs 返回的值比实际的大,即时间跑的更快的情况下,程序运行是否正常。
6)Pringting
● PrintAPI
● PrintDriver
在选定了要验证的选项后,你会发现提示需要调试器配合,如何做呢?看下面:
1)首先安装windbg,运行windbg目录下的gflags.exe,选择image file标签,针对测试进程挂上调试器,如下图:
OK,此时运行测试进程qqmusic.exe,会发现调试器已运行,当检测到程序出现问题,windbg将断下来,此时便可根据堆栈信息找到问题。