

<br><font size=2 face="sans-serif">Open up /dev/mem /dev/kmem. &nbsp; I

am sure that newer *Nix would have newer safeguards, my experience is with

old *Nix. &nbsp;But in the past, if you have r/w access to kernel memory,

you can easily compromise a system. </font>

<br>

<br><font size=2 face="sans-serif">johnl</font>

<br>

<br>

<br>

<table width=100%>

<tr valign=top>

<td width=40%><font size=1 face="sans-serif"><b>Chris Hilton &lt;chris129@cs.iastate.edu&gt;</b>

</font>

<br><font size=1 face="sans-serif">Sent by: cialug-bounces@cialug.org</font>

<p><font size=1 face="sans-serif">01/05/2006 02:04 PM</font>

<table border>

<tr valign=top>

<td bgcolor=white>

<div align=center><font size=1 face="sans-serif">Please respond to<br>

Central Iowa Linux Users Group &lt;cialug@cialug.org&gt;</font></div></table>

<br>

<td width=59%>

<table width=100%>

<tr>

<td>

<div align=right><font size=1 face="sans-serif">To</font></div>

<td valign=top><font size=1 face="sans-serif">Central Iowa Linux Users

Group &lt;cialug@cialug.org&gt;</font>

<tr>

<td>

<div align=right><font size=1 face="sans-serif">cc</font></div>

<td valign=top>

<tr>

<td>

<div align=right><font size=1 face="sans-serif">Subject</font></div>

<td valign=top><font size=1 face="sans-serif">Re: [Cialug] Nix Shared Code

Injection</font></table>

<br>

<table>

<tr valign=top>

<td>

<td></table>

<br></table>

<br>

<br>

<br><font size=2><tt>How could you have read write access to another process's

memory without it <br>

explicitly giving it to you via shared memory?<br>

<br>

On Thursday 05 January 2006 13:31, John.Lengeling@radisys.com wrote:<br>

&gt; Thinking off the top of my head...<br>

&gt;<br>

&gt; Under UNIX, there isn't an API call (that I know of...) which would

do the<br>

&gt; same thing as Windows, but there are several ways of injecting code

or<br>

&gt; getting a process to run arbitrary code:<br>

&gt;<br>

&gt; 1. R/W access to the Kernel memory - If you have r/w access, you can<br>

&gt; access any part of the kernel or any process's memory. &nbsp;Plus

the ghost is<br>

&gt; up for anything else since &nbsp;you can easily get root access.<br>

&gt; 2. R/W access to the Process memory - If &nbsp;you have r/w access,

you can<br>

&gt; change code/data in the process's memory space. &nbsp;And if the process

has<br>

&gt; root permissions, then even better.<br>

&gt; 3. Buffer overflows - If you can overflow a buffer, you can force

the<br>

&gt; process to execute arbitrary code. &nbsp;See information on Morris

Worm.<br>

&gt; 4. Intercepting exec/forks of new processes - &nbsp;Badly written

exec/fork<br>

&gt; code can be compromised by executing some other program.<br>

&gt;<br>

&gt;<br>

&gt;<br>

&gt;<br>

&gt; Chris Hilton &lt;chris129@cs.iastate.edu&gt;<br>

&gt; Sent by: cialug-bounces@cialug.org<br>

&gt; 01/05/2006 01:05 PM<br>

&gt; Please respond to<br>

&gt; Central Iowa Linux Users Group &lt;cialug@cialug.org&gt;<br>

&gt;<br>

&gt;<br>

&gt; To<br>

&gt; Central Iowa Linux Users Group &lt;cialug@cialug.org&gt;, amesfug@amesfug.org<br>

&gt; cc<br>

&gt;<br>

&gt; Subject<br>

&gt; [Cialug] Nix Shared Code Injection<br>

&gt;<br>

&gt;<br>

&gt;<br>

&gt;<br>

&gt;<br>

&gt;<br>

&gt; I've got a theoretical question. &nbsp;It's come to my attention that

the way<br>

&gt; in<br>

&gt; which a lot of spyware works is through some API's in Windows (apparently<br>

&gt; written for debuggers) &nbsp;by injecting a dll into another running

process.<br>

&gt; The<br>

&gt; standard process permissions apply, but you can inject from say bob.exe<br>

&gt; into<br>

&gt; iexplorer.exe.<br>

&gt; My question is about Nix though. &nbsp;Does anyone know if this can

be done on<br>

&gt; Nix?<br>

&gt;<br>

&gt; I've looked into Sys V IPC for shared memory and mmap and neither

look<br>

&gt; like<br>

&gt; you could involuntarily to anything to another processes memory space<br>

&gt; (it'd<br>

&gt; have to open the same IPC location if I read correctly).<br>

&gt; I also looked at processes look like under gdb, and not under it:

&nbsp;They<br>

&gt; look<br>

&gt; exactly the same. &nbsp;I compared /proc/`pidof procName`/maps to

compare.<br>

&gt;<br>

&gt; I'm not finding anything to suggest a way to do this, at least not

a way<br>

&gt; that<br>

&gt; wouldn't be against what the documentation says. &nbsp;Does anyone

know more<br>

&gt; about<br>

&gt; this? &nbsp;It's peaked my curiousity.<br>

&gt;<br>

&gt;<br>

&gt; On a side note. &nbsp;This is why zonealarm doesn't stop nearly as

much spyware<br>

&gt; as<br>

&gt; it used to. &nbsp;Since spyware can hitch its own dll on iexplorer

and do its<br>

&gt; sends from there it looks like iexplorer is connecting to the net;

and no<br>

&gt; one<br>

&gt; but a firefox user, who doesn't run updates, would refuse that ;).<br>

<br>

-- <br>

&quot;The only winning move is not to play.&quot;<br>

_______________________________________________<br>

Cialug mailing list<br>

Cialug@cialug.org<br>

http://cialug.org/mailman/listinfo/cialug<br>

</tt></font>

<br>