Jump to content

Fernando Mercês

Administradores
  • Content Count

    673
  • Joined

  • Last visited

Community Reputation

0 Neutral

Personal Information

Recent Profile Visitors

5,977 profile views
  1. Certo! E você tá bem perto, olhando este print que você mandou. No hex dump você tá vendo a string "/near", no entanto, ao tentar disassemblar os bytes dessa string, o disassembler as interpreta como instruções, que não são. Por isso essa confusão de DAS, OUTS, POPAD, JB, etc. A questão é que estes bytes pertencem à string "/near" e não podem ser interpretados como código. O que você pode fazer aí é buscar por referências ao endereço 0067DFDC, ou seja, instruções que referenciem este endereço, por exemplo, um PUSH 0067DFDC, para encontrar trechos de código que utilizem essa string para fazer algo, o que provavelmente vai ter deixar perto de onde quer. Dependendo da versão do seu Olly, isso pode mudar um pouco, mas no 2.01 é clicar com o botão direito no primeiro byte aí no dump referente à string desejada, no caso, o 2F e escolher "Find references to -> Selected block" ou pressionar Ctrl+R. O Olly vai te mostrar uma lista de endereços de instruções que referenciam este endereço de alguma forma, caso existam (há outras maneiras de referência indireta). Aí é investigá-los. Há outras maneiras também. Como o que você busca é uma referência à uma constante, pode buscar por ela (Search for -> Constant) e colocar o endereço da string (0067DFDC), selecionar "Entire block" e clicar em OK. Ou "Search for -> All constants..." para ver todos os trechos de código onde este endereço aparece. C/C++, sim. Não vejo muito outro motivo pra carregar a biblioteca de runtime de C/C++ da Microsoft. 😉 Em tempo, ótimas dúvidas. Recomendo você fazer o CERO e ler o nosso livro e acompanhar o curso de Ghidra que tá rolando também. Abraços!
  2. Segundo o Valor Econômico, a empresa Chinesa Baidu vai encerrar suas operações no Brasil até setembro. Desde 2013 o antivírus e a toolbar desta empresa tem gerado opiniões não muito felizes e memes, tudo isso porque a empresa escolheu investir no formato que chamam de bundle, onde basicamente injetam seus softwares no sistema operacional do usuário quase que sem o seu consentimento: sites de downloads como o Baixaki e até o Sound Forge ofereciam os softwares da Baidu junto com o download de outros softwares que nada tinham a ver com segurança. Eu mesmo tive a experiência de baixar o Audacity para editar um arquivo de áudio e ao final da instalação percebi um ícone me avisando que meu PC estava agora protegido pelo Baidu. E já tinha um antivírus instalado! Foi um espanto e na hora de remover o Baidu praticamente implorou que eu não o fizesse, afirmando poder coexistir com outros antivírus sem nenhum problema. Haja petulância viu?! Outro problema enfrentado por usuários forçados do Baidu era remover o antivírus do computador. Em algumas versões, era quase impossível sozinho. Não é à toa que uma busca por "remover baidu" no Google Brasil retorna mais de 350.000 resultados, com tutoriais de como desinstalar, vídeos no YouTube ensinando e até softwares para realizar árdua tarefa. Segundo a empresa, ainda há uma base de 20 milhões de usuários de seus produtos no Brasil, que vão continuar sendo atendidos. Não é o fim do software, tampouco da empresa, apenas as operações (funcionários, escritórios, etc) no Brasil cessarão. Um amigo resumiu: o Baidu saiu do Brasil, mas não dos computadores dos brasileiros. 🤪 E na sua experiência? Conta aí pra gente! 🙂
  3. CREDO! kkkkkk Hahahaha valeu por compartilhar. Essas respostas frutos de pesquisas são muito interessantes! 😉
  4. Não tem na estrutura. 😀 O compilador poderia adicionar, mas que eu saiba nenhum faz por padrão. O GCC por exemplo adiciona uma seção .comment com a versão e tal, mas nada em relação ao timestamp: $ readelf -p .comment arquivo.elf String dump of section '.comment': [ 1] GCC: (GNU) 4.1.2 [ 13] GCC: (GNU) 4.1.2 [ 25] GCC: (GNU) 4.1.2 [...] Resumindo, não conheço jeito. Abraço!
  5. O vídeo a seguir é uma apresentação de uma nova ferramenta do projeto GNU chamada poke, que é um editor de binários onde você pode carregar suas próprias estruturas e editar arquivos binários tipo ELF, PE, etc. Ainda está em desenvolvimento mas parece bem promissor! Não consegui compilar ainda mas com certeza depois de estudá-la vou fazer um vídeo sobre. Aliás, alguém quer ajudar na compilação? Site: http://jemarch.net/poke.html
  6. No último dia 30 o Didier Stevens fez atualizações em suas ferramentas de análise de PDF pdf-parser e pdf-id. pdf-parser_V0_7_3.zip (https) MD5: 7EB1713631D255B36BC698CD2422C7EB SHA256: D4D5AC9C26A9D8FEF65CE58A769D3F64A737860DC26606068CCDD3F04FDEA0D7 pdfid_v0_2_6.zip (https) MD5: 9CCE332914A6C76410F04B7C35DA3155 SHA256: 95F7C91EEFB561F3F3BE9809ED339D85E7109BAA7E128EF056651EE018DBDBA0
  7. Só agora vi esse tópico porque tava reorganizando o fórum hehe. Você diz tipo o pessoal que põe as certificações no título do LinkedIn ou cartão de visitas? Eu acho que pode ser um pouco de insegurança, mas entendo. No caso do LinkedIn (e na internet em geral) pode ser pra facilitar a busca também, quando estão buscando emprego. 🙂
  8. Pois então, não acha que ainda podemos considerar RSA com chaves grandes razoavelmente seguro? A apresentação fala em "quebrar contas bancárias". O apresentador não explica, mas se ele tá falando de online banking, cai no caso do TLS que você comentou. Além disso, a técnica apresentada no vídeo não é nova. O surgimento da CADO-NFS se deu nisso, não foi? O burburinho não seria exagerado? RSA pode ter seus dias contados, mas não talvez não tenhamos chegado lá ainda. 😉
  9. O CEO da Crown Sterling, uma startup na área de criptografia, fez um anúncio em uma palestra publicada no YouTube incluindo uma demonstração de quebra da criptografia RSA em menos de um minuto. A apresentação gerou vários comentários na comunidade de segurança da informação mundial, mas acontece que na prática as coisas não são tão simples assim. Pedimos ao Bruno Trevizan (@trevizan), especialista em criptografia e colaborador do Mente Binária, para comentar o assunto. "Um parâmetro importante para o criptosistema RSA é o tamanho (em bits) do módulo público n, principal elemento da chave pública, sendo esse o produto de dois números inteiros primos (p e q) também utilizados no cálculo da chave privada. O ataque demonstrado lança mão da abordagem de fatoração de inteiros, que consiste em encontrar um divisor não trivial de um número composto, ou seja, encontrar um dos inteiros primos p ou q, tal que n = p x q, onde n é informado como elemento da chave pública. Obtendo sucesso na recuperação desses fatores, o atacante é capaz de calcular a chave privada. Contudo, apesar do ataque demonstrado ter sido bem-sucedido, o exemplo contido na demonstração utiliza o módulo público de 256 bits, tamanho de chave não recomendado para nenhum caso", explica. A notícia também foi criticada pelo criptógrafo Bruce Schneier, que lembrou que 256 bits é um tamanho de chave que nunca foi considerado seguro, ou seja, é "quebrável" mesmo. Além disso, o CEO da Crown Sterling, Robert Grant, diz na palestra que uma chave de 512 bits poderia ser quebrada em aproximadamente 5 horas, mas não demonstra. "Contudo, o parâmetro em questão é reconhecidamente inseguro desde 1999, sendo que seu uso não é recomendado nem para sistemas legados. Sendo o tamanho mínimo tolerado para suportar a sobrevida de sistemas legados de 1024 bits, é recomendável o uso 2048 bits ou mais", adiciona Bruno. Outros nomes na área de segurança da informação acreditam se tratar mais um sales pitch do que qualquer outra coisa. No Twitter, Nicholas Weaver, PhD em Berkeley, sugeriu que a ferramenta apresentada pela Crown Sterling seja na verdade uma cópia da CADO-NFS, uma ferramenta de código aberto desenvolvida por pesquisadores na França que consiste na implementação do algoritmo de Number Field Sieve (NFS) para fatoração de números inteiros. Waver nota que a mensagem de saída apresentada no vídeo da Crown Sterling é exatamente a mesma da ferramenta CADO-NFS, o que sugere seu reuso. Victor Mello, Especialista em Segurança Sênior na Neoway, quando soube da notícia fez um script simples em Perl para o mesmo propósito: "para quem tiver interesse, testei aqui e levou em torno de 8 minutos usando GMP num laptop de 8 núcleos (cores). Utilizei o mesmo n que o pessoal da Crown Sterling usou na demonstração", comenta. Victor compartilhou conosco o código-fonte do seu script: use Math::Prime::Util::GMP ':all'; use bigint; # Find prime factors of big numbers @factors = factor(shift); for my $i (@factors) { print $i . "\n"; } Resumindo, quebraram o que já era quebrável. Não precisa fugir para as colinas ainda. 😉
  10. Posta aí como, vai! :D Fiquei curioso hehehehe
  11. O /proc é um sistema de arquivos virtual para os usuários consultarem informações do kernel e também dar instruções a ele, sem a necessidade de reiniciar o sistema. Por exemplo, dá pra habilitar roteamento (/proc/sys/net/ipv4/ip_forwarding) ou consultar informações do processador (/proc/cpuinfo), processos em execução, etc. Como programar um módulo é como se fosse extender o kernel, é bem útil que tal módulo escreva no procfs e também leia parâmetros de lá. ;) Tentei compilar rapidinho num kernel 5.x e também não rolou, mas não consigo parar agora para verificar. De fato, tem um trabalho a ser feito aí! Abraço!
  12. Obrigado, @Linces! Já somos mais de 100 agora, @wescleyp. 😀
  13. No pev o @jweyrich fez assim ó: https://github.com/merces/pev/blob/master/src/plugins.c Abraço!
  14. Em que ponto você está, Octavio? Já rolou um "hello, world"? O que não tá funcionando? Não conheço nada super atualizado, mas podemos de repente fazer algo e até gerar um artigo, mantendo-o atualizado, sei lá. Abraço!
  15. Oi Frederico. Você pode por o texto no corpo do técnico também? Mantém o link da fonte, claro. Acho que fica mais legal que só o link. 😉
×
×
  • Create New...