Varonis Sep 3 2021 at 14:27

Обзор Stack Memory

8 min

8.6K

Varonis Systems corporate blogInformation Security*

Translation

Comments 4

app-z Sep 4 2021 at 04:37

Да. Помню в детстве баловался. Дописывал свой ассемблерный код в конец экзешника и менял EBP, на адрес моего кода. Еще вроде надо было стэк поменять. Еще помню вызов API функций Windows XP был череж жесткий адрес. Можно было поиск файлов делать и записи на диск. Наверное так уже вызвать не получится. Забавно было, что DrWeb детектил мой код. Но если поменять пару команд местами на входе в свой код, то не детектил

Myclass Sep 6 2021 at 13:50

#ирония

Замок - это такая вещь, с помощью которой закрывают дом, авто или сейф от посторонних, но также с помощью которого злоумышленники вскрывают их. Похожее можно и про язык программирования сказать и про кухонный нож итд.

В первую очередь стек, это где складываются те данные, которые во время работы или вызовов функций должны быть временно сохранены. Соединить эту основную функцию стека в одном предложении с возможностью им манипулировать и назвать это как Обзор Stack Memory -не знаю, как то не подходит.

Второе, что мне не совсем понятно. Если уж вредоностный код в состоянии быть вызванным и может уже что-либо исполнять, то зачем вся эта катавасия с подменой адреса возврата?

Varonis Sep 9 2021 at 17:13

Забыли ирониямодофф, поэтому сложно понять, что принимать всерьёз ;)

По названию - в данной статье описываются некоторые примеры работы со стеком. Cогласны, что имеет место не совсем корректный перевод. Наш инженер, помимо нескольких замечаний по тексту, предложил вариант "Разбор происходящего в Stack Memory", что может тоже оказаться не самым удачным переводом. :)

По второму пункту - в целом, описанные в примере из статьи операции производятся с одной целью "запутать следствие". Мало "быстро взять чужое и уйти", в большинстве случаев надо сделать так, чтобы было непонятно, как именно это было сделано (ведь сам метод уже может вывести на исполнителя - вспомним "затопление" домов грабителями из "Один дома"), ну или чтобы на реверс-инжиниринг было потрачено время и ресурсы, которые можно получить только за приличную сумму денег, что может как задержать, так и вовсе остановить расследование.

Myclass Sep 11 2021 at 12:28

Спасибо за объяснение, и наверное непринадлежность к этой группе людей мешает мне это понять. Так как считаю, что заметают следы там, где они остаются. При выполнении команд они не остаются. Там не протоколлируется, всё, что исполняется Поэтому усложнение цикла команд и подстановка через стек - считаю просто шаги для может быть и анализа, но когда файл заражён, а это выясняется быстрее, то это уже по моему факт, что что-то пойдёт не так, как надо. А детали - в каком месте и как - это уже несущественно. Но, это я так считаю. Просто увидев название, подумал, что для своих лекций по внутреннему строению будет неплохо. На самом деле было что-то не то. Спасибо.