| |
|
21
|
Seguridad Informática / Análisis y Diseño de Malware / Re: Duda sobre troyanos y firewall de Windows
|
en: 5 Agosto 2015, 20:42 pm
|
Haber, el Firewall de Windows no se ocupa del sistema de archivos. El Firewall lo que hace es filtrar las conexiones entrantes y salientes de tu PC por medio de un conjunto de reglas. En tal caso por ejemplo, el archivo X infectado está tratando de conectarse a algún lugar de la red, ahí saltaría el Firewall, pero no se tomaría el papel de saltar si el archivo infecta sin necesidad de conectarse.
En realidad sí. Eso depende de cómo tengas configurado el Firewall (o bien recuerdo, el Control de Cuentas de Usuario) en donde ajustabas el nivel de "sensibilidad" al ejecutar un archivo descargado o, ajeno.
De todas maneras si el Crypter ya no fuese FUD entonces habría una probabilidad de que el Antivirus detecte el archivo como sospechoso o malicioso.
Si te inyectas a un proceso que tenga permitido el accesso a la red es 100% seguro que puedes hacer un bypass al firewall ?? |
|
|
|
|
22
|
Seguridad Informática / Análisis y Diseño de Malware / Re: [Dudas] Información profundizada sobre Troyanos y Rootkits
|
en: 29 Julio 2015, 11:53 am
|
|
Esta ya es la ultima pregunta sobre el RSA porque no es el tema del hilo..
Si cifro con mi llave privada y descifro con la llave publica, esto seria firmar y confirmar la autoria de un archivo ???
Si en vez de usar un numero como el objeto de lo que se quiere cifrar/firmar, fuese un mensaje en texto plano, como se deberia de cifrar?? byte por byte de forma independiente?
Ejemplo:
Si el mensaje es "hola" se cifra la "h" y da "a", luego la "o" y da "z"... el mensaje cifrado seria "az.." ??
|
|
|
|
|
24
|
Seguridad Informática / Análisis y Diseño de Malware / Re: [Dudas] Información profundizada sobre Troyanos y Rootkits
|
en: 28 Julio 2015, 06:11 am
|
|
Sobre el ring0...
Se puede instalar un driver en una maquina desde codigo?? Hace falta algun tipo de certificado?
------------------------------------------------------------------------------------------------
Yo estoy haciendo una botnet en masm32.
Los bots estan conectados entre si, osea p2p, para que uno se convierta en nodo tiene que tener el upnp activado. Envio los comandos como archivos de texto firmados con gnupg y el bot se descarga y comparte una version reducida de gnupg, el bot si valida el archivo de texto lo guarda y lo comparte.
He terminado una version del protocolo de comunicacion en PHP para instarlo en un servidor para al menos saber que 1 va a ser un servidor.
Antes de empezar todo esto me puse a pensar los posibles problemas que pudiese tener. Vosotros le veis alguno??
Alguien sabe que "operaciones" matematicas hace gnupg para validar que un archivo firmado corresponde a una key publica ??? Me gustaria implementarlo en el bot para no tener que depender de otro archivo.
El archivo, llamemosle "mi_version_reducida_de_gnupg", se comparte entre todos los bots por medio de su md5sum.
Tambien lo estoy haciendo polimorfico, al empezar la ejecucion hay una funcion que descifra tanto unos opcodes (90 = NOP) y unos bytes en especifico por si hay que hacer un xor al byte actual con otro byte. Una vez descifrado lo que da son unas direcciones de ese archivo a funciones mas "pequeñas" que descifran una parte del bot.
Esto ultimo, el polimorfismo, lo veo mas complicado ya que segun lo veo yo, esta mas enfocado a las matematicas que a la propia programacion.
Al ritmo que voy en unas semanas tendre que decidir entre:
1º Modificar la sección de codigo para hacerla writeable
2º Que el archivo exe al descifrarse haga openfile, writefile y lo ejecute
Entre la 1º y la 2º con cual os quedais??
Para mi, seria mas facil la 1º pero es posible que para los AV si ven un archivo que puede "modificar" su codigo lo tilden de sospechoso
Algun consejo?
Algun error en mis deducciones??
Algun problema visible??
P.D: Quizas mi post no esta muy bien construido, pero son las 6:30 de la mañana y no he pegado ojo
|
|
|
|
|
26
|
Programación / Ingeniería Inversa / Localizar entrypoint en un editor hexadecimal
|
en: 22 Junio 2015, 21:57 pm
|
|
Estoy haciendo un programa para modificar el entrypoint de otro, esto es lo que hago:
Voy a 0x3c contando desde el inicio y alli recojo la direccion de la cabezera a la cual le sumo 0x28 y me da el entrypoint en mi caso es [74 2E 00 00].
Si le abro con el ollydbg me daria la direccion: entrypoint + ImageBase = 74 2E 40 00.
Hasta aqui todo correcto.
Lo que quiero es obtener la direccion del entrypoint en un editor hexadecimal. Lo he localizado en el offset 0x2274..
Si hago la diferencia entre el entrypoint (0x2E74) y la localizacion en el editor (0x2274) me da 0xC00..
De donde sale ese dato??
Como puedo posicionarme en un archivo al abrirlo en la direccion fisica (real) donde empezaria el programa?
|
|
|
|
|
27
|
Seguridad Informática / Criptografía / Re: Duda con GPG
|
en: 26 Abril 2015, 01:29 am
|
las llaves puedes portarlas contigo, pero la intención es evitarlo  realmente lo que dices no se como sería, recomiendo leer los links, a ver como sería exactamente lo que quieres Si tengo todos los datos excepto la clave publica, puedo llegar a volver a generarla ??? |
|
|
|
|
28
|
Seguridad Informática / Criptografía / Re: Duda con GPG
|
en: 26 Abril 2015, 01:16 am
|
|
De acuerdo, gracias, era lo que buscaba.
Una ultima pregunta.. a partir de mi clave privada y con la contraseña que hay que poner al firmar un documento puedo generar la clave privada?? Es decir, si quiero poder firmar un archivo en otro pc y no he compartido todavia mi clave publica, puedo mover solamente mi clave privada al nuevo pc, y de ahi generar de nuevo mi clave publica?
|
|
|
|
|
29
|
Seguridad Informática / Criptografía / Re: Duda con GPG
|
en: 25 Abril 2015, 21:35 pm
|
|
Imaginate esta situacion:
Yo
Juan y Pedro
El resto del mundo
Genero un archivo cifrado con la clave [ X ] y mando el archivo por internetpor medio de un canal no seguro, juan y pedro recogen ese mensaje cifrado y lo descifran con la clave [ Y ] y tienen la seguridad 100% de que ese mensaje ha salido de la clave [ X ]
Es posible eso?? que es X y que es Y ???
Genero un par de claves (publica y privada) comparto con todo el mundo la clave privada, genero un archivo cifrado con la clave publica, todo aquel que tenga la clave privada podra descifrar mi archivo pero tiene la seguridad que yo (el unico que posee la clave publica) es el propietario del archivo
¿Esta conclusion es correcta?
Lo que yo busco es poder mandar un archivo por internet sin que me importe el destinatario, pero que tenga la seguridad que el autor soy yo
|
|
|
|
|
30
|
Seguridad Informática / Criptografía / Duda con GPG
|
en: 25 Abril 2015, 18:47 pm
|
|
Tengo unas dudas con la clave privada y publica.
Yo cifro mi mensaje con mi clave privada y solo aquel o aquellos con la llave publica correspondiente a la llave privada podran descifrarlo y tener la certeza de que ese mensaje solo ha podido ser generado por alguien con esa llave privada
Por otro lado, alguien puede cifrar un archivo con mi clave publica y solo aquel con la clave privada (yo) puede descifrarlo
Todo esto es correcto???
|
|
|
|
|
|
| |
|
Mostrar Mensajes