Jump to content

Fernando Mercês

Administradores
  • Content Count

    634
  • Joined

  • Last visited

  • Country

    Brazil

Everything posted by Fernando Mercês

  1. Eu pensei que você queria a senha correta. É que patchear o jump é fácil po. rs Mas como chegar na senha? Teria que quebrar essa função de hash como o @bornman falou. Era aí que eu tava trabalhando... Qual era a senha correta?
  2. Oi @kassane blz e você? Acho que o você fez é um keygenme, já que imagino que a solução seja descobrir a senha. Cara, eu olhei aqui e vi que se a string de entrada tiver mais que 3 caracteres, você converte grupos de 4 caracteres da string para inteiro e depois faz um monte de cálculos entre XOR, shifts e multiplicações. Por fim compara o resultado com 0xed5dd719. Eu tentei brutar com strings de 4 caracteres mas não consegui chegar nesse valor. Ficou uma coisa na minha cabeça: você conseguiu resolver este crackme? Digo, sem saber a senha, olhando o código em Assembly, você conseguiu resolver? Se sim, dá uma dica? Abraços, Fernando
  3. Já usei Xubuntu e gostei. @cpuodzius tu sabe a diferença entre XFCE e LXDE? Ambos são ditos leves, certo? Abraços, Fernando
  4. Olá. Qual ajuda você precisa? Já definiu a linguagem? É uma necessidade ou trabalho de colégio/faculdade? Se for necessidade, já existem conversores (iconv, por exemplo).
  5. Em março do ano passado, pesquisadores da Trend Micro descobriram que o malware Winnti utilizava o Github para baixar um arquivo de configuração de seu servidor de Comando & Controle (C&C, ou C2). Mais para o fim do ano, a empresa Sucuri analisou um caso onde um minerador de criptomoeadas foi encontrado na plataforma. Agora é a vez de malware brasileiro entrar na brincadeira. Disfarçado seu malware de "notafiscal" como muitos outros criadores de malware brasileiros, o usuário w3afkli1001 hospedou um .rar e um .exe num repositório chamado nfiscal. Ironicamente, foi escolhida uma licença livre Apache. Usando a ferramenta repoget, que fiz exatamente para casos como esse, baixei todo o conteúdo de todos os repositórios deste usuário (mas só havia um mesmo): $ python2.7 repoget.py w3afkli1001 Creating ./w3afkli1001 directory... Cloning repositories... w3afkli1001/nfiscal Cloning gists repositories... $ cd w3afkli1001/nfiscal $ md5 * MD5 (ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.exe) = 778351a3953ed0cc081fef0a5da53358 MD5 (ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.rar) = b97861be214d9a4643571090ee8740e9 MD5 (LICENSE) = 86d3f3a95c324c9479bd8986968f4327 MD5 (Nota_Fiscal.exe) = 679dd0f68e9f25b4c57bd5bc332fb952 Olhando o log dos commits, percebe-se que o autor utilizou a interface web do Github para fazer uploads dos arquivos. Mais fácil que aprender a usar o git né? $ git log commit 5e0d647a5356b861102b8fe4eacbf13d3f9c1eef (HEAD -> master, origin/master, origin/HEAD) Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com> Date: Thu Feb 15 14:28:19 2018 -0200 Add files via upload commit 61792bc7a8591291d2467333a5cecfc6d9505c5e Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com> Date: Mon Feb 5 20:14:25 2018 -0200 Add files via upload commit f03d7491f2c5369d4d6be9353d04faa8564c60dc Author: w3afkli1001 <35973712+w3afkli1001@users.noreply.github.com> Date: Mon Feb 5 20:13:00 2018 -0200 Delete ET78G4B6GTY8H6GFB5XCSRY846HGFB15XRHTYD46HGFB5X1HDY468HDFGB15DHY46HFB51HYD846HDBFG5.PDF.exe Mas por que afinal, é perigoso hospedar malware em sites como Github, Google Drive, Dropbox, etc? Acontece que muitas soluções de segurança não bloqueiam as requisições para estes sites, pois são conhecidamente sites benignos. A responsabilidade da segurança é deles, mas reconheço que é um desafio.
  6. Rapaz, eu li múltiplas vezes pra entender mas não sei se entendi. Vamos lá, quando um computador (se você usa a palavra "micro" essa TI parece mais engessada ainda! haha) falha, o técnico liga um cabo cross (isso ainda existe?) nele com outro computador, dá um boot com o DEFT e dá uns comandos pra fazer a cópia (mount, cp, etc), certo? Você quer automatizar esses comandos somente? Abraço, Fernando
  7. Já estamos vendo isso @andrefilho08. To vendo com a @Gabrielle Alves como fazer isso!
  8. Ainda assim, @gzn, temos que ter o dump de memória antes, correto? É o que entendi do manual...
  9. Eu acho que a melhor parte de tê-la feito é o código ser limpo, claro de ser entendido. Lembro que na época eu tentei entender o código do hexdump, od, etc mas falhei miseravelmente. rs Abraço!
  10. @gzn no Windows você pode usar o hdump também, pra não precisar Cygwin.
  11. O pessoal do blog hasherezade's 1001 nights liberou um crackme hoje. Quem resolver e contactá-los no Twitter leva 3 livros escolhidos pelos ganhadores. É uma ótima oportunidade pra treinar os conhecimentos de ER e ainda ganhar uns livros maneiros. O crackme é para Windows, feito em C++, mas vai exigir. O post completo com a explicação e link para download está em https://hshrzd.wordpress.com/2018/02/03/white-rabbit-crackme/ Dica: já é uma chance de usar a dica do vídeo Desabilitando ASLR. Podem usar essa thread pra postar o desenvolvimento se quiserem. Abraço e boa sorte!
  12. Nesta sexta-feira a desenvolvedora de software Hex-Rays atualizou a versão do IDA, seu disassembler. A versão gratuita do IDA não era atualizada desde a versão 5.0, enquanto a versão paga seguiu passando pela 6.0, 6.5, etc até chegar à versão 7.0 atual. Como este software tem um custo alto, esta é uma notícia muito boa para estudantes e entusiastas em engenharia reversa que querem ter um gostinho de como funciona este poderoso analisador estático (ok, sabemos que o IDA também pode depurar, mas sua principal função é disassemblar código ). O IDA freeware está disponível para Windows, Linux e macOS e pode ser baixado aqui. Em breve faremos alguns vídeos sobre o uso desse disassembler, mas até lá, você já não tem desculpa pra não baixar e começar a conhecê-lo!
  13. Sim, mas tem que alocar antes. O mais rápido é simplesmente declara e passar o endereço, tipo: SIZE_T bytes; ReadProcessMemory(...., &bytes) Posta o trecho de código onde você chama a função também, pra gente ver como tá. Abraço.
  14. Isso pra dumpar a stack do processo, @Vernieri? É do mesmo jeito que usei aqui? Pega o endereço da stack no /proc/<pid>/maps e usa o dump memory do gdb? Eu não sei sobre as técnicas modernas, por isso pergunto. Abraço!
  15. Você não disse qual o erro, mas na hora de chamar a função, você não precisa usar nem LPVOID nem LPCVOID. Este é o tipo de argumento (e pode ser constante sim, já que só vai ler), mas na hora de chamar, basta passar o endereço (não precisa do tipo dele). Não sei qual o tamanho do value, mas como você tá debugando, seria legal usar um quinto argumento pra saber quantos bytes de fato foram lidos. Isso tem que bater com sizeof(value) no seu caso. Abraço!
  16. Salve, galera. O pessoal da H2HC publicou e esqueci de avisar aqui, mas saiu o vídeo da palestra que fiz ano passado sobre o rootkit Umbreon. Segue: Espero que curtam. Aproveitem e vejam as outras do canal do @Filipe Balestra lá! Abraço!
  17. Nunca tinha me feito esta pergunta. hehe Achei um tópico de um cara com a mesma dúvida e recomendaram comprar um hub USB com alimentação externa. O cara disse que deu certo de boa. Abraços, Fernando
  18. É bem legal o Volatility, mas mais valioso ainda seria um tópico sobre técnicas recentes de realizar o dump de memória tanto em Windows quanto em Linux. Muda muito rápido dadas as atualizações constantes nos SO modernos.
  19. A empresa Onesoft Tecnologia S.A está com uma oportunidade muito interessante em aberto para Desenvolvedor C/C++. Caso tenham interesse pela vaga, enviem o CV para o e-mail: rr@flashtrader.com.br DESCRIÇÃO DA VAGA A Onesoft Tecnologia S.A., empresa de tecnologia de ponta e em rápida expansão, procura profissionais criativos e inovadores para compor seu experiente time de desenvolvedores focados no desenvolvimento de algoritmos de alta frequência (HFT) e ultra baixa latência para as maiores instituições financeiras do país. Vaga: Desenvolvedor C/C++ Linux Requisitos da vaga: - sólidos conhecimentos em lógica de programação - solução de problemas complexos através de algoritmos - sólidos conhecimentos na linguagem C/C++ - experiência em desenvolvimento para ambiente Linux Desejado: - Experiência protocolo FIX - Idioma: Inglês Local de trabalho: - Itaim Benefícios: - VR, VA, Plano de Saúde - PLR de 01 a 04 salários no ano de acordo com as metas e resultados alcançados Contato: - Enviar o CV para rr@flashtrader.com.br
  20. Removi, pessoal. Em quase 1 mês não deu R$ 3,00 pra gente. Não faz sentido perturbar milhares de visitantes por essa quantia. Segue o jogo nos apoios!
  21. A propósito, @fredericopissarra. Sabe se register int ainda tem alguma utilidade com versões atuais do gcc? Recomenda usar? Nunca vejo em códigos mais modernos. Abraços, Fernando
  22. Aqui mesmo no fórum tem um Hello, World com MASM.
  23. Tranquilo, @BrNaka. Depois de 4h ele pergunta de novo. Abraço!
×
×
  • Create New...