Cet article reprends les grandes lignes de la présentation donnée le 28 novembre 2014 à SecurIMAG.

La présentation était globalement divisée en 2 parties :

  1. Introduction du contexte et à la notion d’Exploit Kit
  2. Analyse d’un shellcode avec Miasm

Contexte

Le shellcode analysé en seconde partie provient d’une tentative d’exploitation via un Exploit Kit.
Read More →

Un petit résumé de la séance Securimag du mercredi 8 Octobre, consacrée au Buffer Overflow.

1. Nous avons commencé par rappeler la segmentation de la mémoire, le fonctionnement du segment text, et surtout de la pile lors de l’exécution d’un programme.
Le segment text contient simplement les instructions machine qui constituent le programme.
La pile ( Stack ) est plus complexe. Chaque fonction y possède sa propre Stack Frame ( dont les bornes en mémoire sont contenues dans les registres ESP et EBP ) dans laquelle sont stockées plusieurs variables ( locales, globales, paramètres, … ) ainsi que deux adresses importantes : SFP ( qui est la sauvegarde de la précédente valeur de EBP, c’est à dire la borne supérieur de la Stack Frame de la fonction appelante ) et l' »Adresse de retour » de la fonction, qui on le rappelle sauvegarde l’adresse de l’instruction que le processeur devra exécuter à la sortie de la fonction, après le return.

Read More →

Pièces jointes