[Hackmeeting] BFi14-dev-05: VSYSCALL PAGE HIJACKING

Delete this message

Reply to this message
Autor: BFi staff
Data:  
A: hackmeeting
Assumpte: [Hackmeeting] BFi14-dev-05: VSYSCALL PAGE HIJACKING
BFi14-dev-05 RELEASED

title: VSYSCALL PAGE HIJACKING
author: sbudella
rel-date: 2007.09.08
read online: http://www.s0ftpj.org/bfi/dev/BFi14-dev-05
download: http://www.s0ftpj.org/bfi/dev/BFi14-dev-05
language: italiano
description:
    Tra le tante nuove feature introdotte nel kernel Linux 2.6, vi e'
    l'accoppiata di istruzioni sysenter/sysexit che permettono di
    effettuare richieste da User Mode a Kernel Mode in maniera piu'
    efficiente e veloce rispetto alla loro controparte int/ret.
    Questo articolo illustra una nuova tecnica che consiste nello
    sfruttare questa caratteristica del kernel, permettendo ad un
    eventuale attaccante di intercettare e dirottare le syscall e di
    modificare il loro comportamento senza manipolare affatto la syscall
    table, o ricorrere a salti nel mezzo delle funzioni. La strada
    seguita offre meritevoli spunti sulla possibilita' di realizzare
    degli hook user/kernel space concettualmente ibridi.


--
BFi staff
http://bfi.s0ftpj.org