VR
больше подходит для неинвазивной навесной защиты
Size: a a a
2017 December 25
AS
Ну не совсем
AS
вспоните как Нортон АВ ловил сплойт
AS
кодга я стримил
AS
Norton ставил хук на VirtProtect/VirtualAlloc и тд и запомниал адреса стековых фремов. Нмли во время вызова ВиртАллока. ESP/RSP указывает в нестекового фрейма - значит был STackPivot
AS
так что подход с сисколлами вполне ок
AS
только надо не делать их в ринг3. как нортон))
AS
Ну вообще многие средства защиты мониторят вызовы
AS
просто нужен верный контекст)
AS
VirtAlloc + memcpy +CreateProcessA —- шеллкод
AS
Alloc + cpy + jmp mem —— шеллкод
AS
Ну ессно для Лядиха тож самое в целом
AS
это оченб обощенно конечно
AS
(упрощенно)
AS
но отсбда можно начинать копать
AS
Alloc + cpy + jmp mem —— шеллкод
Главное JIT так не убить)
D
реквестирую бинареконсультацию. Как можно определять павн процесса в линуксе? Какие-нибудь специфичные сисколлы? Построение и сравнение колл-графов? Может пэйперы кто-то скинет интересные
- RAP https://grsecurity.net/rap_announce.php
- SIGDROP: Signature-based ROP Detection using Hardware Performance Counters (большой пласт по детекту на основе хардвари и времени) https://arxiv.org/pdf/1609.02667.pdf
А именно детект нужен? или prevention? Если prevention то тут два направления CFI и fine-grained ASLR
- SIGDROP: Signature-based ROP Detection using Hardware Performance Counters (большой пласт по детекту на основе хардвари и времени) https://arxiv.org/pdf/1609.02667.pdf
А именно детект нужен? или prevention? Если prevention то тут два направления CFI и fine-grained ASLR
AS
ну я думал чел хочет сам запилить)
AS
простенький детект)
AS
хотя конечно самому пилить не стоит - все уже придумано