3. ¿QUE ES ELF? ELF por sus siglas en inglés de Executable and Linking Format es un formato de archivo mayormente utilizado en sistemas tipo UNIX como Linux, BSD, Solaris, Irix. Existen otros formatos soportados en algunos de estos sistemas como COFF o a.out, pero ELF es sin duda el más usado.
11. “ Virus writers and other cyber criminals have lost interest in Linux, since it is neither “underground” nor mainstream, which means there isn't much money-making potential” Fuente: Kaspersky Security Bulletin 2006: Malware for Unix-type systems MALWARE FOR UNIX-TYPE SYSTEMS Number of malicious programs for Unix platforms
12. Breakdown of malware according to platform MALWARE FOR UNIX-TYPE SYSTEMS (Cont.) Fuente: Kaspersky Security Bulletin 2006: Malware for Unix-type systems
13. Breakdown of malware according to platform MALWARE FOR UNIX-TYPE SYSTEMS (Cont.) Fuente: Kaspersky Security Bulletin 2006: Malware for Unix-type systems
38. KERNEL (Cont.) /usr/src/linux/fs/binfmt_elf.c load_elf_library() int j; /* Now read in all of the header information */ j = sizeof(struct elf_phdr) * elf_ex.e_phnum; /* j < ELF_MIN_ALIGN because elf_ex.e_phnum <= 2 */ elf_phdata = kmalloc(j, GFP_KERNEL);
40. CONCLUSIÓN ELF es un formato de archivos algo complejo, dentro del cual se encuentran estructuras de datos, ya sea para crear un ejecutable o para cargarlo en memoria y ejecutarlo. Dentro de estas estructuras de datos es posible encontrar diferentes valores que podrían ser modificados para violar la especificación.
42. REFERENCIAS [1] Anonymous, (2002). Runtime Process Infection. Phrack Magazine, 11 (59). Extraido el 02 de Junio de 2007 desde http://www.phrack.org/issues.html?issue=59&id=8 [2] Barros, C. (2006). Complete guide to process infection. The Bug Magazine, 1 (1). Extraido el 20 de Enero de 2007 desde http://www.thebugmagazine.org/magazine/bug01/0x06_complete- guide-to-process-infection.txt [3] Bauche, D. (2005). Ingeniería Inversa en Linux . Guadalajara, Jalisco, México. Extraido el 11 de Noviembre de 2006 desde http://www.genexx.org/pubs/iil/IIL.pdf [4] El-Khalil, R. & Keromytis, A. Hydan: Hiding Information in Program Binaries . Department of Computer Science, Columbia University. New York. [5] Garaizar, P. (s.f.). Virus en Linux – Un nuevo campo de batalla .
43. REFERENCIAS (Cont.) [6] Griffiths, A. (s.f.). Binary protection schemes (Ed. Rev. 1.0-prerelease- 0.7). Extraido el 13 de Febrero de 2007 desde http://felinemenace.org/papers/Binary_protection_schemes-1.00- prerelease.tar.gz [7] Grugq, Scut (2001). Armouring the ELF: Binary encryption on the UNIX platform. Phrack Magazine, 11 (58). Extraido el 02 de Junio de 2007 desde http://www.phrack.org/issues.html?issue=58&id=5 [8] Grugq. (s.f.). Cheating the ELF . Extraido el 04 de Marzo de 2006 desde http://m4dch4t.effraie.org/coding/Cheating_elf.pdf [9] Haungs, M. (1998). Extending Sim286 to the Intel386 Architecture with 32-bit processing and Elf Binary input (p. 10-17). Extraido el 12 de Mayo de 2006 desde http://www.cs.ucdavis.edu/~haungs/paper/paper.html [10] Hodson, D.(2004). ELF: A fairytale for viruses . Trabajo presentado en RuxCon 2004 conference, Julio 10-11, Sydney, Australia.
44. [11] Johnson, R. (2004). Hooking the Linux ELF Loader . Trabajo presentado en Toorcon 2004 conference, Septiembre 24-26, San Diego, California, USA. [12] Lu, H. (1995). ELF: From The Programmer's Perspective . NY 10604, USA. [13] Starzetz, P. (2004). Linux kernel binfmt_elf loader vulnerabilities . [14] TIS Committee. (1995). Executable and Linking Format (ELF) Specification v. 1.2 . Extraido el 22 de Enero de 2005 desde http://www.x86.org/ftp/manuals/tools/elf.pdf REFERENCIAS (Cont.)
45. A. Alejandro Hernández Hernández [email_address] http://www.genexx.org/nitrous/ Gracias !