Présentation : Julien DESFOSSEZ
Principal objectif : pouvoir analyser un malware, ou n’importe quel programme, tout en évitant les protections anti-debuggers.
Les protections habituelles (ptrace, breakpoints) sont facilement détectables.
L’ outil fonctionne en espace noyau, selon différents modes :
Mode Trace :
Affichage des appels système, des registres (paramètres), de la table des pages.
Chaque interuption 0x80 est interceptée, en modifiant le handler dans l’idt, l’information est traitée et forwardée vers son traitement légitime.
Mode Dump :
L’outil va reconstituer l’ELF directement depuis la mémoire, en reconstituant à partir des segments séparés (ce n’est PAS une copie de fichier).
D’ailleurs, le format ELF n’est pas valide, ce qui n’est pas un problème, puisque les informations nécessaires à son exécution sont présentes.
L’ outil ne fonctionne pas encore avec les packers.
Mode Anti-anti-trace:
But : utiliser les debuggers actuels. En modifiant le code de retour de ptrace (comme pour le mode trace, on handle l’appel système), on peut éviter de lui faire retourner une erreur, et donc d’être détecté.
Améliorations à venir : gestion plus avancée des détections, des packers, etc…
A suivre.