|
http://www.hackerschool.org/HS_Boards/zboard.php?AllArticle=true&no=23440 [º¹»ç]
bitblazeÀÇ TEMU¿¡ tracecap.so ¶õ Ç÷¯±×ÀÎÀÌ ÀÖ½À´Ï´Ù
TEMU°¡ ½ÇÇàµÇ¸é¼ tracecap.so ¸¦ ·±Å¸ÀÓ¿¡ ·ÎµåÇؼ taint analysis¸¦ Çϴµ¥¿ä
TEMU°¡ ´Ù¸¥ ¼Ò½º´Â °ø°³µÇ¾îÀִµ¥ tracecapÀº ÄÄÆÄÀÏµÈ ¹ÙÀ̳ʸ® ÇüÅ·θ¸ Á¦°øÇÏ´õ¶ó±¸¿ä
tracecap ÆÄÀÏ¿¡¼ È£ÃâÇÏ´Â ¿ÜºÎ ÇÔ¼ö (¿©±â¼´Â TEMU ¸ÞÀÎ ¸ðµâÀÇ ÇÔ¼ö) ´ë½Å¿¡ Á¦°¡ ¸¸µç ÇÔ¼ö¸¦
È£ÃâÇÏ°Ô ÇÏ°í ½Í½À´Ï´Ù.
(¿¹)
(¿ø·¡) tracecap.so --> taintcheck() È£Ãâ
(¼öÁ¤ ÈÄ) tracecap.so --> taintcheck_modified() È£Ãâ
¹®Á¦´Â ¼Ò½º°¡ °ø°³µÇ¾îÀÖ´Ù¸é Äڵ带 ¼öÁ¤ÇϸéµÇÁö¸¸ ¹ÙÀ̳ʸ®¸¸ ÀÖ´Ù´Â °ÍÀÌÁÒ..
À§ÀÇ ¿¹ÀÇ °æ¿ì
taintcheck()
{
taintcheck_modified();
}
ÀÌ·¸°Ô ÇÏ¸é µÇ°ÚÁö¸¸ ÀÌ ¹æ½ÄÀº Á¦¿ÜÇÏ°í½Í½À´Ï´Ù.
±×·¡¼ Á¦°¡ »ý°¢Çغ» ´Ù¸¥ ¹æ¹ýµéÀº
1. ELF ÆÄÀÏÀ» ÆĽÌÇؼ ÇÔ¼ö import table ºÎºÐÀ» manually ¼öÁ¤
(ELF Æ÷¸Ë ¿¡µðÅÍ °°Àº°Ô ÀÖ¾î¼ ±× ºÎºÐ¸¸ µü ¹Ù²Ü¼ö ÀÖÀ¸¸é ÁÁ°Ú´Âµ¥ ¾ÆÁ÷ ±×·±ÇÁ·Î±×·¥ÀÖ´ÂÁö ¸ð¸£°Ú½À´Ï´Ù)
2. ÇÔ¼ö ÈÄÅ·?
(¸¸¾à °¡´ÉÇÏ´õ¶óµµ ¾î´À ºÎºÐÀ» ÈÄÅ·ÇؾßÇÏ´ÂÁö ¸ð¸£°Ú³×¿ä;;;)
3. µðÄÄÆÄÀÏ ÈÄ ´Ù½Ã ÄÄÆÄÀÏ?
(IDA µðÄÄÆÄÀÏ·¯¿¡¼ ÇÔ¼ö´ÜÀ§·Î ¸»°í ¾Æ¿¹ ¹ÙÀ̳ʸ® Àüü¸¦ µðÄÄÆÄÀÏÇؼ ÄÚµåÆÄÀÏ Çϳª¸¦ outputÀ¸·Î ³»´Â
±â´ÉÀÌ ÀÖ³ª¿ä Ȥ½Ã?)
Ȥ½Ã ´Ù¸¥ ÀÇ°ßÀ̳ª Á¶¾ðµé ÀÖ´Ù¸é ºÎŹµå¸³´Ï´Ù... ¤Ð¤Ð |
Hit : 6754 Date : 2012/03/23 06:14
|
22015, 
1/1101 
jaewonm
