Commentaires sur : Conférence NDH 2009 sur GoRing0 http://www.segmentationfault.fr/projets/conference-ndh-2009-goring0/ Projets d’un consultant en sécurité informatique Sat, 22 Aug 2015 12:46:18 +0000 hourly 1 http://wordpress.org/?v=3.4.2 Par : sloshy http://www.segmentationfault.fr/projets/conference-ndh-2009-goring0/comment-page-1/#comment-260 sloshy Sat, 16 May 2009 18:57:44 +0000 http://www.segmentationfault.fr/?p=641#comment-260 Yolejedi et toi même avez de meilleur connaissance que moi, je suppose que tu pourra repondre a ces questions une fois que tu aura regarde ça de plus près. donne tes réponses ici si tu veux bien, ça m'interresse. Yolejedi et toi même avez de meilleur connaissance que moi, je suppose que tu pourra repondre a ces questions une fois que tu aura regarde ça de plus près.

donne tes réponses ici si tu veux bien, ça m’interresse.

]]> Par : Emilien Girault http://www.segmentationfault.fr/projets/conference-ndh-2009-goring0/comment-page-1/#comment-259 Emilien Girault Fri, 15 May 2009 06:17:07 +0000 http://www.segmentationfault.fr/?p=641#comment-259 Salut En effet il semblerait qu'il ait eu une idée similaire. Par contre je doute qu'il n'utilise la même technique que moi. Utilise-t-il un driver, ou exploite-t-il une faille du kernel ? Quand tu dis que le code ring 0 s'exécute dans le même contexte, qu'entends-tu par "contexte" ? S'il s'agit juste du CR3 (définissant l'espace d'adressage virtuel), n'importe quel appel de driver classique le fera aussi vu que le CR3 n'est pas changé lors d'une interruption ou un IOCTL. Je vais jeter un coup d'oeil à sa PoC, ça a l'air intéressant. En tout cas merci de l'avoir signalé, car j'avais déjà cherché des outils du genre et je n'avais pas trouvé. Salut
En effet il semblerait qu’il ait eu une idée similaire. Par contre je doute qu’il n’utilise la même technique que moi. Utilise-t-il un driver, ou exploite-t-il une faille du kernel ?
Quand tu dis que le code ring 0 s’exécute dans le même contexte, qu’entends-tu par « contexte » ? S’il s’agit juste du CR3 (définissant l’espace d’adressage virtuel), n’importe quel appel de driver classique le fera aussi vu que le CR3 n’est pas changé lors d’une interruption ou un IOCTL.
Je vais jeter un coup d’oeil à sa PoC, ça a l’air intéressant. En tout cas merci de l’avoir signalé, car j’avais déjà cherché des outils du genre et je n’avais pas trouvé.

]]> Par : sloshy http://www.segmentationfault.fr/projets/conference-ndh-2009-goring0/comment-page-1/#comment-258 sloshy Thu, 14 May 2009 20:21:53 +0000 http://www.segmentationfault.fr/?p=641#comment-258 Hello, Ton PoC existe déjà, yolejedi a implémente une DLL permettant d'exécuter un code en ring0 dans le même contexte que le thread ring3 original. Hello,
Ton PoC existe déjà, yolejedi a implémente une DLL permettant d’exécuter un code en ring0 dans le même contexte que le thread ring3 original.

]]>