Artículo interesante en (IN) SECURE Magazine

Posted in Kernel, Malware, Seguridad on octubre 16, 2008 by Hendrix

El artículo lo acabo de leer ahora y la verdad es que me ha gustado bastante, el autor es Anibal Sacco y el tema es el de intentar aprovechar vulnerabilidades en los drivers para poder ejecutar código en modo kernel desde modo usuario, concretamente la vulnerabilidad esta en los IOCTL’s del driver. El autor explica el artículo mediante la vulnerabilidad encontrada en el driver del Winpcap (CVE-2007-5756).

La verdad es no es el único artículo interesante de la revista, hay otros tantos que tambien merecerian ser analizados, pero me quedo con este ya que trata sobre los temas que voy trabajando.

Un Saludo

Hendrix

Anuncios

Hook Detector v1.1

Posted in Aportes, Seguridad on octubre 15, 2008 by Hendrix

Estoy escribiendo la nueva versión de este programa que escribí en C/C++ a modo consola. Lo estoy reescribiendo en C# con ventanas, para que sea mas intuitivo. De momento tengo echa la interfaz y parte de la DLL. Aquí una imagen de como va quedando:

Hook Detector v1.1

Hook Detector v1.1

En esta nueva versión, aparte de detectar Hooks, le voy a incorporar algunas utilidades interesantes, como ver información de los procesos, ver las Dll’s cargadas, permitir cargar/descargar Dll’s en el proceso, etc.

Al terminar el proyecto posiblemente libere el código, para que quien quiera añadirle mejoras pueda hacerlo.

Un Saludo

Hendrix

Introducción a la programación de drivers en Windows

Posted in Kernel, Malware on octubre 14, 2008 by Hendrix

Estoy escribiendo en elhacker.net un artículo sobre la programación de drivers en Windows. Los temas a tratar son los siguientes:

1. Nociones básicas

  • 1.1 Herramientas necesarias
  • 1.2 Modo kernel y modo Usuario
  • 1.3 Documentación interesante

2. Introducción

  • 2.1 Hola mundo desde el driver
  • 2.2 Comunicación entre Modo kernel y modo usuario

3. El Kernel de Windows

  • 3.1 La SSDT o System Service Descriptor Table
  • 3.2 Memoria protegida

4. Hooks

  • 4.1 Hooks en la SSDT

5. Direct Kernel Object Manipulation (DKOM)

  • 5.1 Eprocess
  • 5.2 Ocultando procesos sin Hooks

Espero que les guste, si no entienden algo, o creen que me e dejado algo en el tintero, solamente diganmelo.

Un Saludo

Hendrix

Malware Challenge [2008]

Posted in Malware on octubre 14, 2008 by Hendrix

A través de elhacker.net me entero de este interesante evento, donde los concursantes se tienen que descargar un malware, y tienen que destriparlo, para ver lo que hace, realizar un informe e intentar sacar el codigo fuente.

La idea me parece bastante interesante, si alguno se anima que lo comente.

Un Saludo

Hendrix

Artículo sobre parcheo de memoria en modo Kernel

Posted in Kernel, PerformSec on octubre 14, 2008 by Hendrix

Acabo de escribir un artículo demostrando algunos fallos que tienen la mayoría de módulos de Kernel que utilizan los sistemas de seguridad como son Anti-Virus, Firewalls, etc.

Junto con el artículo hay un pequeño programa que se encarga de la protección de un archivo y otro programa que se encarga de burlar dicha protección aprovechando la no verificación de las direcciones almacenadas en las variables. En el programa de parcheo no e restaurado la entrada en la SSDT (un metodo mucho más fácil que el que e usado) ya que pretendia explotar el fallo que cometen algunos sistemas de seguridad, que es el de la no verificación de las direcciones. Ya que algunos verifican que la entrada de la SSDT permanezca hookeada pero no verifican la dirección a la que van a llamar. Una vez parcheada la dirección, nos encargamos de envenenar (cambiar) los parámetros por otros falsos y el programa de protección ni se entera.

Descarga

Un Saludo

Hendrix

FireFox 3 ya disponible

Posted in General on junio 17, 2008 by Hendrix

La Fundación Mozilla ha sacado la tercera versión de su navegador, FireFox 3. Hace meses nos enseñaban las primeras muestras del FireFox 3 con sus Betas y RC’s. Hoy han publicado la descarga de la versión final de este navegador. Personalmente lo e probado (no habia probado las Betas ni RC’s) y la estetica esta bastante bien, ahora veremos el apartado de seguridad que para mi es lo más importante.

Para los que quieran descargarse la versión final y en español: Descarga

No se olviden de complementar el navegador con NoScript 😉

Un Saludo.

Hendrix

Nueva adquisición

Posted in General on abril 4, 2008 by Hendrix
Windows Internals
Hoy he encargado este libro para reforzar lo que ya se y para aprender lo que no se, e pedido referencias a gente que ya lo tiene y me han dicho que es realmente interesante, asi que lo encargue hoy mismo en Amazon.

Sobre los programas de la web, e estado haciendo otras pruebas (analizando el driver del Zone Alarm). Quando tenga una versión extable la posteare.

Un Saludo

Hendrix