しばらく前に、シマンテックは W32.Xpaj.B ウイルスの新しい亜種を確認し、その新機能に関する初期段階の詳細と、感染第 1 号の爆発的感染の状況について以前のブログで報告しました。その後さらに解析を進めましたが、結論として爆発的な感染はなく、少なくとも当面の間は W32.Xpaj.B の再来もないと考えるに至っています。 解析から明らかになったのは、以下の点です。 第 1 号に感染したサンプルは、他のサンプルに感染する機能を持っていない。 64 ビットカーネルモードのペイロードは、標的とするプロセスに DLL(ダイナミックリンクライブラリ)をインジェクトするが、その DLL は空である。 感染したサンプルは第 1 号からウイルス本体のコピーを引き継いでおらず、それよりはるかに小さいウイルスによって感染している。 こうしたすべての事実から、この感染第 1 号は単なるテストサンプルであっ
When writing lock-free code in C or C++, one must often take special care to enforce correct memory ordering. Otherwise, surprising things can happen. Intel lists several such surprises in Volume 3, §8.2.3 of their x86/64 Architecture Specification. Here’s one of the simplest examples. Suppose you have two integers X and Y somewhere in memory, both initially 0. Two processors, running in parallel,
フォティーンフォティ技術研究所 先端技術研究部 リサーチ・エンジニア 舟久保 貴彦 前回紹介した通り,SMM(システム管理モード)はOSやVMM(バーチャル・マシン・モニター)にその存在を気付かせることなく動作し,ロックを掛けることによりSMMの処理プログラムを完全に隠ぺいできる特徴がある。密かに盗聴などの活動をするルートキットには都合が良い動作環境と言える。今回は,SMMルートキットの論文で話題に上ることが多いSMMキーロガーの動作原理について解説する。 SMMで動作するプログラム(例外なくSMMキーロガーも含む)は,リアル・モードに似た16ビット・モードで動作するが,Memory Extension Addressingと呼ばれる技術を使って4Gバイトの物理メモリー領域にフルアクセスできる。メモリー上に存在するOSのデータからユーザー・アプリケーションのデータまで,あらゆるメモリー・デ
バイナリ列を見て x86 のコードかな〜とニヨニヨできる人に、x86 のコードであること、だけじゃなく実際のコード列も読めるようになってほしい!そんな願いから、今回は hex dump のバイト列を見つめてハンド逆アセンブルできるようになるための、効率良い覚え方を紹介します。 今回は、32-bit x86 について解説するよ。 まとめて覚えておきたい 8 つの命令、add, sub, adc, sbb, and, or, xor, cmp (00h〜3Dh) これらの命令は近い所に配置されていて、しかも命令のルールがほとんど同じです。 つまり、ほとんど同じように覚えることができるのです。opcode map 上では次の領域が相当します。 0 1 2 3 4 5 6 7 8 9 A B C D E F 0 ■ ■ ■ ■ ■ ■ ←add ■ ■ ■ ■ ■ ■ ←or 1 ■ ■ ■ ■
Windows Internals II - 課題・講義資料 講義資料・課題資料など 講義用資料 Windows Internals II - Projects WindowsKernelOverview KernelExtensions WindowsDriverModel WindowsDriverFoundation ObjectManagerLPC x86TrapsInterruptsExceptions VirtualMachineArchitecture ProcessesThreadsVM AdvancedFileSystems Monad 課題のための補足資料(日本語) 課題の概要(提出方法など) Project I -- Kernel-mode extensions Project II -- Writing OS subsystems Project III -- NT
Welcome to the Emulation Framework project The Emulation Framework is software developed by the international KEEP project, co-funded by the European Union's 7th Framework Programme. It is available as open source software under the Apache 2.0 license. DPC Award for Research & Innovation goes to the PLANETS project 3 Dec 2012 - The winner of DPC Award for Research & Innovation is the PLANETS proje
To help the attendees of my Brucon White Hat Shellcode workshop, I wrote a new program to generate simple shellcode. I’m releasing it now. People regularly ask me for malware so they can test their security setup. First, that’s a bad idea, and second, you can do without. Why is using malware a bad idea? It’s dangerous and not reliable. Say you use a trojan to test your sandbox. You notice that you
FRAUNHOFER-INSTITUT FÜR KOMMUNIKATION, INFORMATIONSVERARBEITUNG UND ERGONOMIE FKIE MMX, SSE{1,2,3}, VMX CONDITIONAL LOOP XCHG EAX EXCLUSIVE ACCESS CONDITIONAL REPETITION SIZE OVERRIDE SEGMENT OVERRIDE Jcc Jcc SHORT ROL/ROR/RCL/RCR/SHL/SHR/SAL/SAR x86 Opcode Structure and Instruction Overview v1.0 – 30.08.2011 Contact: Daniel Plohmann – +49 228 73 54 228 – daniel.plohmann@fkie.fraunhofer.de 0 1 2 3
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く