Artículo sobre parcheo de memoria en modo Kernel

Acabo de escribir un artículo demostrando algunos fallos que tienen la mayoría de módulos de Kernel que utilizan los sistemas de seguridad como son Anti-Virus, Firewalls, etc.

Junto con el artículo hay un pequeño programa que se encarga de la protección de un archivo y otro programa que se encarga de burlar dicha protección aprovechando la no verificación de las direcciones almacenadas en las variables. En el programa de parcheo no e restaurado la entrada en la SSDT (un metodo mucho más fácil que el que e usado) ya que pretendia explotar el fallo que cometen algunos sistemas de seguridad, que es el de la no verificación de las direcciones. Ya que algunos verifican que la entrada de la SSDT permanezca hookeada pero no verifican la dirección a la que van a llamar. Una vez parcheada la dirección, nos encargamos de envenenar (cambiar) los parámetros por otros falsos y el programa de protección ni se entera.

Descarga

Un Saludo

Hendrix

FireFox 3 ya disponible

La Fundación Mozilla ha sacado la tercera versión de su navegador, FireFox 3. Hace meses nos enseñaban las primeras muestras del FireFox 3 con sus Betas y RC’s. Hoy han publicado la descarga de la versión final de este navegador. Personalmente lo e probado (no habia probado las Betas ni RC’s) y la estetica esta bastante bien, ahora veremos el apartado de seguridad que para mi es lo más importante.

Para los que quieran descargarse la versión final y en español: Descarga

No se olviden de complementar el navegador con NoScript

Un Saludo.

Hendrix

Nueva adquisición

Hoy he encargado este libro para reforzar lo que ya se y para aprender lo que no se, e pedido referencias a gente que ya lo tiene y me han dicho que es realmente interesante, asi que lo encargue hoy mismo en Amazon.

Sobre los programas de la web, e estado haciendo otras pruebas (analizando el driver del Zone Alarm). Quando tenga una versión extable la posteare.

Un Saludo

Hendrix

ObfuscateBatch

Esta herramienta esta escrita en C# y su objetivo es ofuscar el código de los .bat para que quede algo ilegible funcionando igualmente.

Esta versión tiene un problema, que es que en las variables si se ofuscan la CMD no las lee correctamente, en próximas versiones se solucionará esto.

Junto con el ejecutable esta el codigo fuente de la misma.

Descarga

Un Saludo

Hendrix.

FileBlock

Dejo esta pequeña herramienta que programe en Febrero y publiqué en el foro de elhacker.net, trata de una aplicación en C/C++ y de un driver, en el .zip esta el código fuente de la aplicación en C/C++.

 

Esta herramienta sirve para impedir que se borre el archivo que nosotros queramos.

Descarga

Un Saludo

Hendrix

Sacacorchos

Hoy quiero dar a conocer (para los que no lo conozcan) esta interesante utilidad, desarrollada por Thor pero abierta a todo el mundo, ya que funciona por Plug-Ins, con lo que se consigue que si se quiere detectar algun troyano uno mismo puede programar el plug-in para ese troyano y luego lo comparte para que más gente lo pueda utilizar.

El programa esta centrado en obtener la configuración del servidor del troyano utilizado, es decir, si alguien nos intentó colar un troyano, con este programa podemos “escanear” el server para obtener toda la configuración que se le aplicó al servidor del troyano.

A continuación dejaré una imagen y el link directo del proyecto:

Link: http://foro.elhacker.net/index.php/topic,192611.0.html

Recomiendo echarle un ojo a este proyecto, es interesante.

Un saludo

Hendrix

Bienvenida

El motivo de crear este blog era el de tener una pagina “oficial” para el HeuriSec, un programa que estoy desarollando (más información en la categoria HeuriSec), luego pense en que si creaba una pagina (o blog) para el programa, habría gente que le podria interesar el desarrollo de herramientas parecida a esta o incluso participar en el desarrollo de la misma. Aparte de esto, en este blog pondre artículo que yo mismo escriba, artículos de compañeros y notícias sobre informática.

Lo dicho, bienvenidos.

Un Saludo

Hendrix.