Analyse dynamique depuis l'espace noyau avec Kolumbo — Julien Desfossez
Date : 05 June 2009 à 11:45 — 30 min.
Module noyau Linux développé pour faciliter l'analyse de binaires protégés contre l'analyse statique et dynamique.
Ce module reprend les principes de rootkit pour intercepter l'interruption 0x80 (appels systèmes) et la table des appels systèmes. Ainsi il peut suivre tous les appels systèmes effectués par un programme.
Les autres fonctionnalités lui permettent également de récupérer le contenu de la mémoire virtuelle d'un programme à un moment choisi, insérer des "points d'arrêts" pour afficher le contenu des registres à certaines adresse et également de contourner de manière basique le test anti-analyse consistant à faire un appel à ptrace pour vérifier la présence d'un debugger.