Size: a a a

DCG#7812 DEFCON-RUSSIA

2017 December 24

JG

JeisonWi Garrison in DCG#7812 DEFCON-RUSSIA
источник

JD

John Doe in DCG#7812 DEFCON-RUSSIA
Price: €5,990.00
источник

JD

John Doe in DCG#7812 DEFCON-RUSSIA
Camera control: SSH
источник

JD

John Doe in DCG#7812 DEFCON-RUSSIA
ничоси
источник
2017 December 25

AN

Alexey Nikiforov in DCG#7812 DEFCON-RUSSIA
источник

AN

Alexey Nikiforov in DCG#7812 DEFCON-RUSSIA
источник

AN

Alexey Nikiforov in DCG#7812 DEFCON-RUSSIA
когда нехрен делать. :)))
источник

DA

Dmitry Alimov in DCG#7812 DEFCON-RUSSIA
на кондёре что-ли?
источник

VV

Vladislav Volkov in DCG#7812 DEFCON-RUSSIA
На чём и как ты это сделал?
источник

PC

Pavel Cherepanov in DCG#7812 DEFCON-RUSSIA
реквестирую бинареконсультацию. Как можно определять павн процесса в линуксе? Какие-нибудь специфичные сисколлы? Построение и сравнение колл-графов? Может пэйперы кто-то скинет интересные
источник

AN

Alexey Nikiforov in DCG#7812 DEFCON-RUSSIA
на светодиоде, иголкой под микроскопом, просто от руки писал.
источник

SJ

Shmelev Jaroslav in DCG#7812 DEFCON-RUSSIA
Pavel Cherepanov
реквестирую бинареконсультацию. Как можно определять павн процесса в линуксе? Какие-нибудь специфичные сисколлы? Построение и сравнение колл-графов? Может пэйперы кто-то скинет интересные
bind или connect/execve шелла/dup2 там и сочетания, особенно если чекать дескриптор
источник

SJ

Shmelev Jaroslav in DCG#7812 DEFCON-RUSSIA
в принципе многие шеллкоды обладают набором последовательно выполняемых сисколлов, которые не встретятся при нормальной работе
источник

SJ

Shmelev Jaroslav in DCG#7812 DEFCON-RUSSIA
Ещё можно смотреть на поиск сокета перебором
источник

PC

Pavel Cherepanov in DCG#7812 DEFCON-RUSSIA
спасибо, погуглирую
источник

VR

Vlad Roskov in DCG#7812 DEFCON-RUSSIA
Pavel Cherepanov
реквестирую бинареконсультацию. Как можно определять павн процесса в линуксе? Какие-нибудь специфичные сисколлы? Построение и сравнение колл-графов? Может пэйперы кто-то скинет интересные
думаю специфичные сисколлы это провал - если в конкретном процессе никогда не используется connect/execve, проще seccomp-ом их зарезать
источник

VR

Vlad Roskov in DCG#7812 DEFCON-RUSSIA
может быть глядеть на стек во время сисколла, чекая что все стекфреймы лежат где надо (в либах/в коде)
источник

VR

Vlad Roskov in DCG#7812 DEFCON-RUSSIA
нету ли в стеке ропчика или адресов из левой памяти с шеллкодом
источник

OG

Omar Ganiev in DCG#7812 DEFCON-RUSSIA
ща тут придумаем shadow stack и cfg)
источник

VR

Vlad Roskov in DCG#7812 DEFCON-RUSSIA
хыхы) ну мой вариант более ущербный
источник