mrduclaw
2013-03-31 07:48:01 UTC
Chápu, že na x86 se INT 1 používá pro jednostupňové a INT 3 se používá pro nastavení zarážek a některých dalších přerušení (obvykle 0x80 pro Linux a 0x2E pro Windows) se dříve používala pro systémová volání.
Pokud malware zasáhne tabulku Interrupt Descriptor Table (IDT) a nahradí vlastní obslužné rutiny INT 1 a INT 3 , které provádějí systémové volání funkce, jak mohu použít debugger ke sledování jeho provedení? Nebo používám nástroje statické analýzy?
Obejít by bylo opravit vzorek tak, aby byly háčky buď odstraněny, nebo přesunuty do přerušení, která nezasahují do ladění. Ze zvědavosti víte, jestli existují nějaké veřejně dostupné vzorky, které to dělají v systému Windows?
Odstranění háků je dostatečně snadné, pokud kód nepoužívá háčky pro funkce podobné volání systému. Zdá se, že jejich přesunutí do dalšího přerušení by mělo fungovat. Nyní je problém v tom, že kód je hodně nabitý, takže úpravy jsou nepříjemné. : / A ne, žádné veřejně dostupné vzorky, o kterých vím, promiň.
Jen pro jistotu, to také narušuje ladicí programy na úrovni jádra, že?
Toto je druh přístupu Hail Mary, ale pokud jste to dělali v Linuxu, můžete překompilovat jádro pomocí vlastního IDT a znovu sestavit svůj debugger s novým mapováním. To by pravděpodobně stálo za to, pouze pokud se s tímto druhem vzorků hodně setkáváte.
@amccormack:, ale pokud malware spoléhá na přítomnost funkcí jádra u těchto vektorů přerušení, nepřestane fungovat? Očekávám, že budete muset být velmi opatrní, jak provádíte úpravy jádra ...