TQ: Malware

Question 1

Forklar kort og presist klassisk buffer overflow angrep og return-to-libc angrep.

Answer 1

Man skriver over returadressen på stacken slik at retur blir til et annet sted på stacken hvor det er bad kode.

Question 2

What is the difference between a virus and a worm? How do they each reproduce?

Answer 2

• Et virus tar over programmer, og reproduserer ved å
  infisere flere programmer
• En orm er et eget program, og sprer seg over nettet.

Question 3

Forklar kort hva som menes med et integer overflow attack.

Answer 3

F.eks kan et bilde lastes inn uten at det er allokert minne til det. Tall er begrenset størrelse (f.eks 16 bit).x

Question 4

Forklar hvordan et virus kan beholde kontrollen over alle interruptvektorene med utgangspunkt I figuren. ingen figur hehe)

Answer 4

a) Ved oppstart sier viruset at alle interrupt-vektorer slik at de peker på viruskoden
b) og c) når device drivere lastes skrives interrupt-vektorene over igjen. Men alle skjer ikke samtidig, så det vil alltid forekomme interrupt som viruset kontrollerer før alle er overskrevet.

Question 5

Hva er et rootkit? Hvilke fem steder kan et rootkit typisk gjemme seg?

Answer 5

Malware som gjør at angriperen får kontroll over maskinen etter angrepet. Kan finnes I firmware, hypervisor, OS-kjernen, biblioteker og applikasjoner.

Question 6

Hva menes med jailing? Forklar kort hvordan jailing typisk fungerer.

Answer 6

All oppførsel til et program kan overvåkes via jailing, hvert systemkall overføres til “jailer” som bestemmer om de skal tillates