coverage-guided fuzzing是一种强劲的模糊不清检测技术，由于代码覆盖率（Code Coverage）是体现功能测试对被测手机软件遮盖程序流程的关键指标值，自动化技术程序流程将半任意键入引入到测试代码中，那样做的目地是寻找开启系统漏洞的键入，模糊不清检测在搜索C或c 程序流程中的运行内存毁坏系统漏洞时尤其有效。一般 状况下，提议挑选一个十分了解但非常少涉及到的、很多分析的库。根据工作经验看，libjpeg、libpng和libyaml全是极致的进攻总体目标。但是如今难以寻找一个好的总体目标，但是从此外一个视角而言，这也表明手机软件愈来愈安全性了!但是我还是决策试着一下Linux内核的netlink体制。

Netlink是linux出示的用以内核和客户态过程中间的通信方式。可是留意尽管Netlink关键用以客户室内空间和内核室内空间的通讯，可是也可以用以客户室内空间的2个进程通信。仅仅进程间通信有别的许多 *** ，一般无需Netlink。除非是必须采用Netlink的广播节目特点时。

从基本原理上而言，Netlink是供“ ss”，“ ip”，“ netstat”这类的专用工具应用的內部Linux专用工具。它用以矮层互联网每日任务——配备网线端口、IP地址、路由表等。因此 ，这是一个非常好的网站渗透测试总体目标，因为它是内核中一个鲜为人知的一部分，并且全自动撰写合理的信息相对性非常容易。最重要的是，在这个全过程中我们可以学得许多有关Linux內部的物品。但是，netlink中的系统漏洞不容易对安全性导致危害，由于netlink套接字一般 必须权利浏览。

在本文中，大家将运作AFL代码覆盖率专用工具，在一个订制的Linux内核上驱动器大家的netlink shim程序流程，全部这种都是在KVM虚拟化技术中运作。

一般 ，在应用AFL时，大家必须检验总体目标代码，便于以AFL兼容的 *** 汇报代码覆盖率。可是大家要想模糊不清内核!我们不能仅仅用“afl-gcc（AFL的编译器）”再次编译它。反过来，大家将应用一个 *** 。大家将提前准备一个二进制文件，它会蒙骗AFL，让它觉得是用它的专用工具编译的。这一二进制文件将汇报从内核中获取的代码覆盖率。

内核代码的代码覆盖率

内核最少有两个内嵌的代码覆盖率体制- GCOV和KCOV：

1. 在Linux内核中应用gcov；

2. KCOV：模糊不清的代码覆盖率。

KCOV在设计方案时考虑到到抽象性检测，因而大家将应用它。

Kcov是一个代码遮盖检测工具，最开始根据Bcov，它可在FreeBSD、Linux、OSX系统软件中应用，适用的語言包含编译語言(compiled languages)、Python和Bash。与Bcov一样，Kcov对编译的程序流程应用DWARF调试信息，便于不用独特编译器电源开关就可以搜集遮盖信息内容。

KCOV应用起來比较简单，大家务必应用恰当的设定来编译Linux内核。更先，启用KCOV内核配备选择项：

cd linux

\\

-e KCOV \\

-d KCOV_INSTRUMENT_ALL

KCOV可以纪录全部内核的代码覆盖率，能够应用KCOV_INSTRUMENT_ALL选择项开展设定。可是，那样做也是有缺陷，会缓减大家不愿剖析的内核一部分，而且会在大家的精确测量中引进噪声减少精确测量的精确性。更先，使我们禁止使用KCOV_INSTRUMENT_ALL并有选择在大家具体要剖析的代码上启用KCOV。在本文中，大家只关心netlink体制，因而大家会在全部“ net”文件目录树枝启用KCOV：

find net -name Makefile | xargs -L1 -I{}bash -c 'echo "KCOV_INSTRUMENT :=y" >>{}'

在理想化的状况下，大家只对大家真实很感兴趣的好多个文档启用KCOV。可是netlink解决遍布全部 *** 堆栈代码，因而我们在本文中没有时间对其开展调整。

应用KCOV后，就必须加上“内核 *** 黑客”选择项，以提升汇报运行内存毁坏系统漏洞的概率。有关Syzkaller提议的选择项目录，客户程序自诉，在其中最重要的是KASAN。

拥有这一设定，大家就可以编译启用KCOV和KASAN的内核。哦，还有一件事，大家将在kvm中运作内核。大家将应用“virtme”，因此 大家必须一些转换：

\\

-e VIRTIO -e VIRTIO_PCI -e NET_9P -e NET_9P_VIRTIO -e 9P_FS \\

-e VIRTIO_NET -e VIRTIO_CONSOLE -e DEVTMPFS ...

怎么使用KCOV

KCOV很容易应用，更先，一定要注意，代码覆盖率纪录在每一个过程的算法设计中。这代表着你务必在客户室内空间过程中启用和禁止使用KCOV，而且不太可能纪录例如终断解决这类的非每日任务內容的覆盖面积，这符合实际大家的必须。

KCOV将数据分析报告到一个环状缓冲区域，设定比较简单，实际客户程序此代码，随后，你能应用简易的ioctl启用和禁止使用它。

ioctl(kcov_fd, KCOV_ENABLE, KCOV_TRACE_PC);

ioctl(kcov_fd, KCOV_DISABLE, 0);

在这个编码序列以后，循环系统缓冲区域包括全部启用kcov的内核代码的基本块的%rip值的目录。要载入缓冲区域，只需运作下列代码就可以：

n=__atomic_load_n(&kcov_ring[0], __ATOMIC_RELAXED);

for (i=0; i

应用addr2line那样的专用工具，能够将%rip分析为特殊的代码行。尽管大家不用它，初始的%rip值对大家而言早已充足了。

将KCOV引入AFL

下一步是学习培训怎样蒙骗AFL，请记牢，AFL必须一个专业设计方案的可执行程序，可是大家期待出示内核代码覆盖率。更先，大家必须掌握AFL是怎样工作中的。

AFL设定一个64K的8位数据数组，这一运行内存地区称之为“shared_mem”或“trace_bits”，与追踪程序流程共享资源。能够将数组中的每一个字节数当作插装代码中特殊(branch_src、branch_dst)对的击中电子计数器。

必须留意的是，AFL更喜欢应用任意的支系标识，而不是器重%rip值来标志基本块。它是为了更好地提升熵，大家期待数组中的击中电子计数器是分布均匀的。AFL应用的优化算法为：

cur_location=;

shared_mem[cur_location ^ prev_location];

prev_location=cur_location >> 1;

在应用KCOV的状况下，大家沒有为每一个支系出示编译时任意值。反过来，大家将应用哈希函数从KCOV纪录的％rip形成统一的16位数据。它是将KCOV汇报送进AFL“shared_mem”数组的方式：

n=__atomic_load_n(&kcov_ring[0], __ATOMIC_RELAXED);

uint16_t prev_location=0;

for (i=0; i > 1;

}

从AFL载入数据测试

最终，大家必须具体撰写检测代码来进攻内核netlink插口！更先，大家必须从AFL载入键入数据信息。默认设置状况下，AFL将功能测试发送至stdin：