¿El análisis del código malicioso en gdb supone un riesgo para la seguridad?

10

Me he encontrado con un código de shell malicioso & He portado el Shellcode en un código C compatible que puede ejecutar el Shellcode, lo compilé usando gcc -fno-stack-protector -z execstack shellcode.c -o code que da el archivo ELF de salida code , estoy planeando analizar el archivo usando el comando gdb ./code para ver las funciones y amp; Para investigar el Shell-Code.

Ahora mi pregunta es si un archivo ELF no confiable que se ejecuta en gdb puede provocar la ejecución de un archivo fuera de gdb. Porque si el código de shell es rm -rf / --no-preserve-root , es una Implicación de seguridad o un código de Shell que usa una conexión remota también es una amenaza, por lo que el comando gdb ./code ejecuta el código completamente o simplemente transfiere el código a gdb, porque después de eso puedo usar los puntos de interrupción antes de la ejecución del código de shell para analizar.

Cualquier respuesta sería apreciada.

    
pregunta Gerorge Timber 09.06.2016 - 10:54
fuente

1 respuesta

18

Ciertamente lo hace. gdb no aislará el proceso en absoluto y simplemente le dará cierto control sobre él para entender lo que hace.

Para hacer ese tipo de análisis, debe recurrir a un sistema completamente aislado, como una máquina virtual sin acceso a la red.

Se respetarán los puntos de ruptura, pero siempre debe tener en cuenta los errores humanos que pueden tener consecuencias drásticas. Si fuera lo suficientemente bueno como para depurar de forma segura un programa desconocido, no tendría que ejecutarlo, ya que simplemente leería el código para saber qué hace, lo que estaría libre de riesgos.

    
respondido por el Julie Pelletier 09.06.2016 - 11:01
fuente

Lea otras preguntas en las etiquetas