elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Programación
| |-+  Ingeniería Inversa (Moderadores: karmany, .:UND3R:., MCKSys Argentina)
| | |-+  TLS Callbacks en ejecutables unix ELF
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: TLS Callbacks en ejecutables unix ELF  (Leído 5,168 veces)
makitos666

Desconectado Desconectado

Mensajes: 4


Ver Perfil
TLS Callbacks en ejecutables unix ELF
« en: 20 Marzo 2018, 14:02 pm »

Hola, buenas tardes a todos!

Estoy empezando a aventurarme en las entrañas de los ejecutables para Linux. Creía que serian parecidos a los PE, pero madre mía que follón!

En los PE había las famosas TLS Callbacks que permitían añadir código ejecutable antes del entry point del PE, lo que los hacia un poco mas reacios a ser reverseados.

La pregunta que me trae hoy aquí es: hay algún símil para los ELF?
Ya he visto que esto del TLS callback no existen en este mundo, pero hay algún otro modo de ejecutar código antes del entry point?

Muchas gracias a todos!
En línea

Geovane

Desconectado Desconectado

Mensajes: 207



Ver Perfil
Re: TLS Callbacks en ejecutables unix ELF
« Respuesta #1 en: 20 Marzo 2018, 22:32 pm »

¡Hola

la solución que conozco es editando el encabezado ELF en HEXA.
añadir una dependencia (biblioteca), a continuación, escribir lo deseado en este nuevo ejecutable.

SALUDOS
En línea

Para servicios, envíe un mensaje privado, sólo para servicios en curso hasta fecha de 10/06/2019
makitos666

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: TLS Callbacks en ejecutables unix ELF
« Respuesta #2 en: 21 Marzo 2018, 14:30 pm »

Buenas,

Si que he leído por ahí que se pueden modificar los imports, para, como en Windows, inyectar código a través de las librerías.
Pero eso me asegura que ese código que yo pondré se ejecutara antes del código que se encuentra en el Entry Point del ELF?

Gracias!
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.518


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: TLS Callbacks en ejecutables unix ELF
« Respuesta #3 en: 21 Marzo 2018, 15:09 pm »

Pero eso me asegura que ese código que yo pondré se ejecutara antes del código que se encuentra en el Entry Point del ELF?

No trabajo mucho en Linux, pero si funciona como en Windows, el main de cada DLL importada se ejecuta antes del EP del ejecutable.

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

makitos666

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: TLS Callbacks en ejecutables unix ELF
« Respuesta #4 en: 21 Marzo 2018, 15:14 pm »

Tiene sentido, supongo que lo mejor sera probar con un "Hello World" y debugear

Gracias a todos!
En línea

makitos666

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: TLS Callbacks en ejecutables unix ELF
« Respuesta #5 en: 22 Marzo 2018, 17:12 pm »

No trabajo mucho en Linux, pero si funciona como en Windows, el main de cada DLL importada se ejecuta antes del EP del ejecutable.

Saludos!

Pues he probado, con este código sencillo:



He compilado la librería foo para luego importarla como dinámica en el main.

Tras analizar el main compilado con radare2, he identificado el Entry Point, he abierto el ejecutable con EDB Debugger, he puesto un breakpoint. El resultado es el siguiente:



Puedo así concluir que, como bien decías, los constructores de las librerías se ejecutan antes del Entry Point del ejecutable.

Gracias!
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ejemplo de infección mediante TLS Callbacks
Análisis y Diseño de Malware
The Swash 0 2,321 Último mensaje 16 Mayo 2011, 02:16 am
por The Swash
callbacks dentro de clases
Programación C/C++
dewolo 5 3,196 Último mensaje 10 Octubre 2011, 20:28 pm
por Eternal Idol
Moderación Unix/Unix-Like
Sugerencias y dudas sobre el Foro
Foxy Rider 7 4,926 Último mensaje 2 Diciembre 2011, 15:08 pm
por [u]nsigned
TLS: CallBacks
Programación C/C++
85 0 1,664 Último mensaje 16 Marzo 2013, 12:42 pm
por 85
como puedo descargar un iso de unix original y un iso de unix solaris
GNU/Linux
Mememrator345. 1 14,407 Último mensaje 6 Octubre 2017, 05:48 am
por MCKSys Argentina
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines