L'analisi del codice dannoso in gdb pone un rischio per la sicurezza?

10

Ho riscontrato un codice shell malevolo & Ho portato lo shellcode in un codice C compatibile che può eseguire lo shellcode, lo ho compilato usando gcc -fno-stack-protector -z execstack shellcode.c -o code che dà il file ELF di output code , sto pianificando di analizzare il file usando il comando gdb ./code per vedere le funzioni & per ricercare il codice Shell.

Ora la mia domanda è che un file ELF non attendibile in esecuzione in gdb può causare l'esecuzione di file al di fuori di gdb? Perché se il codice shell è rm -rf / --no-preserve-root che si tratta di un Implication di sicurezza o di un codice Shell che utilizza la connessione remota è anche una minaccia, così comando gdb ./code esegue completamente il codice o semplicemente porta il codice a gdb, perché dopo di che posso utilizzare i punti di interruzione prima dell'esecuzione del codice shell da analizzare.

Qualsiasi risposta sarebbe apprezzata.

    
posta Gerorge Timber 09.06.2016 - 10:54
fonte

1 risposta

18

Lo fa certamente. gdb non isolerà affatto il processo e ti darà semplicemente il controllo su di esso per capire cosa fa.

Per fare questo tipo di analisi, dovresti ricorrere a un sistema completamente isolato come una VM senza accesso alla rete.

I punti di interruzione saranno rispettati, ma dovresti sempre tenere conto degli errori umani che possono avere conseguenze drastiche. Se sei abbastanza bravo da poter eseguire il debugging in sicurezza di un programma offuscato sconosciuto, non avresti bisogno di eseguirlo, in quanto dovresti semplicemente leggere il codice per sapere cosa fa, il che sarebbe privo di rischi.

    
risposta data 09.06.2016 - 11:01
fonte

Leggi altre domande sui tag