アカウント名:
パスワード:
>> ウイルス対策ソフトによるチェックが完了して本来のAPIが実行される寸前> このタイミングで値の操作って可能なんですか?値がユーザーモード空間に存在していて、まだスケジューラもユーザーモードスレッドへの切り替えを許している状態なので可能です。なおこれはスケジューラやAPIの脆弱性ではありません。なぜならば本来のAPIが実行される寸前は本来ならユーザモードのコードが実行されていたはずで、APIはユーザーモード空間からパラメータをコピーする必要があるからです。その前にサードパーティーのドライバがカーネルパッチで割り込んでいても、OSはそれを認識していないのですからどうしようもありません。サードパーティーソフトの側が自分の責任で対策する必要のあることです(で、ほとんどすべてのソフトが対策をサボってたと)。マルチコアのシステムではスケジューラに関係なく別スレッドから値の書き換えが可能なので、さらに攻撃しやすいわけです。OSの認識する方法(たとえばフィルタドライバ)で割り込んでいる場合には、パラメータはすでにコピーされているので問題は発生しません。
書き換えるタイミングはどう計ってるんだろう。チェックが済む前に割り込んでも意味がないから、その数STEPを見計らって書き換えないといけないよね?ブルートフォースで、偶然にベストタイミングで割り込むまでひたすらトライしてるのかな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
APIをフックしたアンチウィルスソフトをさらにフックするウィルスってこと? (スコア:0)
このタイミングで値の操作って可能なんですか?
Re:APIをフックしたアンチウィルスソフトをさらにフックするウィルスってこと? (スコア:4, 参考になる)
>> ウイルス対策ソフトによるチェックが完了して本来のAPIが実行される寸前
> このタイミングで値の操作って可能なんですか?
値がユーザーモード空間に存在していて、まだスケジューラもユーザーモードスレッドへの切り替えを許している状態なので可能です。
なおこれはスケジューラやAPIの脆弱性ではありません。なぜならば本来のAPIが実行される寸前は本来ならユーザモードのコードが実行されていたはずで、APIはユーザーモード空間からパラメータをコピーする必要があるからです。その前にサードパーティーのドライバがカーネルパッチで割り込んでいても、OSはそれを認識していないのですからどうしようもありません。サードパーティーソフトの側が自分の責任で対策する必要のあることです(で、ほとんどすべてのソフトが対策をサボってたと)。
マルチコアのシステムではスケジューラに関係なく別スレッドから値の書き換えが可能なので、さらに攻撃しやすいわけです。
OSの認識する方法(たとえばフィルタドライバ)で割り込んでいる場合には、パラメータはすでにコピーされているので問題は発生しません。
Re: (スコア:0)
書き換えるタイミングはどう計ってるんだろう。
チェックが済む前に割り込んでも意味がないから、その数STEPを見計らって書き換えないといけないよね?
ブルートフォースで、偶然にベストタイミングで割り込むまでひたすらトライしてるのかな。