Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Ingenierie inverse du code executable elf dans l analyse apres intrusion

Ingénierie inverse du code exécutable ELF dans l'analyse après intrusion Marek Janiczek L'ingénierie inverse associée souvent à l'enlèvement des protections des programmes peut être utilisée avec succès dans l'analyse après intrusion Gr? ce à cette méthode nous obtenons la réponse aux questions concernant le rôle les possibilités et le mécanisme du fonctionnement des ?chiers suspects trouvés dans le système I l y a un mois pendant l'analyse après intrusion d'un système compromis j'ai trouvé dans le répertoire usr share doc shellutils le programme appelé kstatd laissé par l'intrus L'analyse après intrusion standard basée sur l'analyse des informations laissées dans la mémoire et sur le disque dur du système compromis n'a pas permis de déterminer le rôle joué par le ?chier suspect Je n'ai pas eu la possibilité de reconstruire le code source ?? soit le programme a été compilé sur la machine compromise soit il a été introduit sous forme compilée Dans cette situation l'unique solution était d'e ?ectuer l'analyse détaillée du code au moyen de l'ingénierie inverse en anglais reverse engineering Les actions que j'ai e ?ectuées peuvent être appelées analyse statique ?? le code analysé n'a jamais été lancé Les résultats ressortent à partir de l'analyse de la structure et du contenu de l'objet analysé Outils nécessaires Comme plate-forme pour l'analyse j'ai utilisé le système Mandrake Linux Les outils utilisés sont les programmes disponibles par défaut sur les systèmes Linux et la famille BSD et autres disponibles dans Internet Les outils système standard fournis dans les distributions c'est avant tout le paquet binutils GNU binary utilities De ce paquet nous utiliserons les programmes suivants ? ar ?? pour obtenir les informations sur les objets des bibliothèques des archives a et à les extraire ? nm ?? pour obtenir la liste des liens symboliques symboles dans les objets ? objdump ?? permet d'obtenir des informations détaillées sur l'objet et son contenu ? strings ?? pour l'extraction des cha? nes de caractères imprimables ASCII du ?chier Cet article explique ? comment désassembler le code exécutable ELF ? comment se servir d'ingénierie inverse pendant l'analyse après intrusion dans Linux Ce qu'il faut savoir ? les notions de base de programmation en C et en Assembleur www hakin org Hakin No Défense Cé Ingénierie inverse dans l'analyse apres intrusion Format ELF ELF Executable and Linking Format est un format typique de trois types d'objets binaires dans Linux réalloués exécutables et partagés ? Les objets réalloués à extension o sont les objets qui sont associés pour créer un ?chier exécutable ou une bibliothèque partagée ?? ce sont les ?chiers résultants des compilateurs et assembleurs ? Les objets exécutables sont les ?chiers prêts à être lancés déjà réalloués avec les liens symboliques résolus excepté ceux qui sont relatifs aux bibliothèques partagées résolues pendant le démarrage ? Les objets partagés à extension so sont les objets contenant du code et des données pouvant participer au processus de l'assemblage des objets dans deux contextes Le premier concerne l'assemblage via un éditeur de liens avec les objets