trampoline

Entry Point Obscuring (EPO) 1.

Pojmem Entry Point Obscuring je označována skupina virových technik, jejímž cílem je, jak název napovídá, skrýt skutečné místo, kde dochází ke spuštění virového těla. Obecně řečeno: Vir může převzít kontrolu nad vykonáváním kódu kdykoliv během běhu infikované aplikace. V praxi to znamená, že je takový kód mnohem hůře detekovatelný, než je tomu u klasických infektorů.

Inline hook s využitím trampolíny

V jednom z předchozích článků jsem popisoval inline hook, který pro hookování využívá opakovaného přepisování prvních pěti bajtů funkce (většinou prologu) a rovněž jsem zmínil, že tato technika má své mouchy. V dnešním článku popíšu další možnost implementace inline hooku, tentokrát s využitím trampolíny. Výhodou proti předchozí implementaci je fakt, že hook je implementován pouze …

Inline hook s využitím trampolíny Pokračovat ve čtení »