Symposium sur la sécurité des technologies de l'information et des communications

Conférence francophone sur le thème de la sécurité de l'information.
Elle a eu lieu à Rennes du 3 au 5 juin 2009.

Analyse dynamique depuis l'espace noyau avec KolumboJulien Desfossez


Date : 05 juin 2009 à 11:45 — 30 min.

Module noyau Linux développé pour faciliter l'analyse de binaires protégés contre l'analyse statique et dynamique.

Ce module reprend les principes de rootkit pour intercepter l'interruption 0x80 (appels systèmes) et la table des appels systèmes. Ainsi il peut suivre tous les appels systèmes effectués par un programme.

Les autres fonctionnalités lui permettent également de récupérer le contenu de la mémoire virtuelle d'un programme à un moment choisi, insérer des "points d'arrêts" pour afficher le contenu des registres à certaines adresse et également de contourner de manière basique le test anti-analyse consistant à faire un appel à ptrace pour vérifier la présence d'un debugger.