Analyse d'un packer et programmation d'un unpacker

Pour lutter contre la détection par signature les trojans sont souvent packés à l'aide d'un packer. Un packer est un programme qui compresse , chiffre, protège les exécutables. Pour que les exécutables puissent être lancés, le packer leur ajoute une fonction, un loader, qui va décompresser et déchiffrer l'exécutable en mémoire avant de lui rendre la main. Les détections par signatures se faisant sur l'exécutable 'en dur', c'est à dire sur le fichier et non en mémoire lorsque le programme est lancé, le code du malware est chiffré et la détection par signature échoue.

Optimisation de Blind SQL injection

Les failles d'injection de code SQL sont désormais bien connues, mais les techniques d'exploitation en aveugle le sont moins. Les astuces pour obtenir le nombre de champs employés dans une requête SELECT, ou pour brute-forcer les valeurs des champs de manière dichotomique sont elles aussi de plus en plus rencontrées au travers de l'ensemble des pages traitant de ce sujet sur Internet. Mais qu'en est-il des techniques de découverte et de récupération de données dans un environnement inconnu, lorsqu'on se trouve dans l'incapacité de déterminer si une requête forgée a provoqué le résultat attendu ?

Nouvelle technique d'injection de code

L'injection de code dans un processus est une technique connue depuis plusieurs années dans la sécurité informatique, et largement utilisée par de nombreux malwares, et de fait contrée par de nombreux logiciels anti-malware. Il existe cependant un moyen de contourner ces détections, tout en assurant l'injection d'une dll dans l'espace mémoire d'un autre processus, et cela de manière furtive, à l'insu de ces logiciels anti-malware.

An analysis of Microsoft Windows Vista’s ASLR

Windows Vista includes a new memory protection system called ASLR. Its goal is to escape buffer overflow attacks in vulnerable programs.

Stack overflow on Windows Vista

In this article we will analyze the ASLR (Address Space Layout Randomization) that has been added to Windows Vista beta 2 and we will see through an example how it is possible to bypass the ASLR to exploit stack overflows on Windows Vista.

Stack overflow on Windows XP SP2

In this article we will see the different protection mechanisms added by Microsoft 
in windows XP SP2 to prevent stack overflow exploitation.

Linux_2.6.x_vsyscalls

Advisory - Linux 2.6.x vsyscalls may be used as powerful attack vectors.

[April 13 2005] Keywords: RORIV (ret-onto-ret-into-vsyscalls)
	 	 	  ROJIV (ret-onto-jmp-into-vsyscalls)

Original paper may be found at:
http://www.sysdream.com/
http://www.lse.epita.fr/publications.php