Es ist Wochenende und ich habe wenig zu tun, also mal alte Notizen durchgehen.<\/p>\n
Dabei ist mir ein Vortrag vom Chaos Communication Congress 2005 \u00fcber Syscall Proxying in die Finger gefallen. Der Vortrag ist von CSK, die Pr\u00e4sentation liegt auf uberwall.com<\/a> und entwickelt hat die Technik Core Security.<\/p>\n Die Idee ist bestechend: Man bastelt einen kleinen speicherresidenten Agenten, bringt den auf einem gehackten System zum Laufen und hat lokal einen Proxy, der Systemcalls abf\u00e4ngt und an den Agenten weiterleitet. Dort werden die Syscalls dann real ausgef\u00fchrt, der R\u00fcckgabewert an den lokalen Proxy zur\u00fcckgeschickt und hier an die laufende Anwendung zur\u00fcck gereicht. Die Vorteile liegen auf der Hand: die diversen Hacking-Tools m\u00fcssen nicht mehr auf das gecrackte System \u00fcbertragen werden, der Agent l\u00e4uft nur im Speicher und sichert nichts auf der Festplatte und nach einem Reboot kann die forensische Analyse nichts mehr entdecken.<\/p>\n Nur: da kommt nichts mehr. Ein paar Demo-Tools um zu zeigen, dass die Technik funktioniert und dann nichts mehr. Lediglich Core Security hat das in Core Impact<\/a> realisiert. Dabei w\u00e4re das wirklich gut. Ich bin leider kein brauchbarer Programmierer, sonst w\u00fcrde ich mich damit mal hinsetzen. So eine Bibliothek h\u00e4tte die Qualit\u00e4t einer Dsniff-Suite<\/a>, von der heute immer noch jeder spricht, obwohl Dug Song l\u00e4ngst nicht mehr damit besch\u00e4ftigt ist. Ich muss mir da mal l\u00e4nger Gedanken machen …<\/p>\n","protected":false},"excerpt":{"rendered":" Es ist Wochenende und ich habe wenig zu tun, also mal alte Notizen durchgehen. Dabei ist mir ein Vortrag vom Chaos Communication Congress 2005 \u00fcber Syscall Proxying in die Finger gefallen. Der Vortrag ist von CSK, die Pr\u00e4sentation liegt auf uberwall.com und entwickelt hat die Technik Core Security. Die Idee ist bestechend: Man bastelt einen […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[8],"tags":[],"_links":{"self":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/80"}],"collection":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/comments?post=80"}],"version-history":[{"count":0,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/posts\/80\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/media?parent=80"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/categories?post=80"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.mitternachtshacking.de\/blog\/wp-json\/wp\/v2\/tags?post=80"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}