Jump to content

Fernando Mercês

Administradores
  • Content Count

    681
  • Joined

  • Last visited

Everything posted by Fernando Mercês

  1. Oi! O pagamento recorrente é automático via PayPal ou PagSeguro. Valeu pelo apoio!
  2. Version 11

    129 downloads

    Especificação do formato PE/COFF. Revisão 11 de 20 de Junho de 2017 no formato do Word. Estava disponível para download em http://www.microsoft.com/whdc/system/platform/firmware/PECOFF.mspx mas agora só a versão online está acessível, então decidi fazer upload aqui.
  3. Version 1.0.0

    31 downloads

    Apresentação da SANS de 2006 sobre detecção de VMs.
  4. 66 downloads

    Artigo original de Godefroy-Guillaume Leibnitz sobre o sistema binário, escrito em 1703.
  5. Version 1.1

    455 downloads

    Apostila super básica de Linux, para verdadeiros iniciantes. Foi escrita por nós.
  6. 112 downloads

    Manual de referência da Intel. Antigo, mas ainda muito útil para arquitetura de 32-bits.
  7. Eu acho muito relativo essa questão de nível. Depende de quem está revertendo né? rs Chutaria um nível 4/10, mas aí lembro que já vi crackme nível 3/10 que tinha que quebrar cripto na mão, chato pra caramba. Então sinceramente não sei.. e sei lá, acho que pode deixar assim: esse é meu crackme, sei lá o nível hehe. Abraço e parabéns pelo desenvolvimento!
  8. Que legal. Eu vi hoje um curso por 5 dólares sobre esse assunto: https://www.packtpub.com/ - aliás hoje tem um monte de coisa a $5 na PacktPub.
  9. No pev eu uso um common.h com todos os includes em comum.
  10. Concordo que para estudo vale a pena. Eu fiquei muito tempo com o MB em PHP, CSS, HTML etc tudo à mão... daí quase saiu um CMS, mas depois de algum tempo me rendi ao WP e por fim ao IPS atual, pra ter mais ferramentas de comunidade. Hoje, se eu fosse só blogar, testaria o Hugo, que gera páginas estáticas. Ouvi falar dele depois que o osxreverser migrou. Abraço, Fernando
  11. Dados os ocorridos recentes sobre vazamento de dados como o caso da Netshoes, resolvi compartilhar mais uma ferramenta, desta vez um programa em Python que recebe um endereço de e-mail como argumento e busca por leaks que o envolvam. Adicionalmente, de posse de alguma senha vazada, é possível testar o reuso de credenciais em diferentes serviços. O nome do software é Cr3dOv3r, disponibilizado sob a licença livre MIT. Aqui encontrei uma minha de Instagram (que não utilizo), que possui uma senha vazada anteriormente, conforme visto na imagem. Vale a pena conferir seus e-mails aí!
  12. @Rick Santos sua explicação foi incrível. Muito obrigado! Compilei seu programa e funciona perfeitamente. Já que o @fredericopissarra falou da .rodata, andei dando uma olhada e achei bem legal o tratamento que o NASM dá dependendo do nome da seção/segmento: $ objdump -h hello.o hello.o: file format elf64-x86-64 Sections: Idx Name Size VMA LMA File off Algn 0 .data 00000007 0000000000000000 0000000000000000 00000380 2**2 CONTENTS, ALLOC, LOAD, DATA 1 .rodata 00000007 0000000000000000 0000000000000000 00000390 2**2 CONTENTS, ALLOC, LOAD, READONLY, DATA 2 .rodata666 00000007 0000000000000000 0000000000000000 000003a0 2**0 CONTENTS, ALLOC, LOAD, READONLY, DATA 3 .mentebin 00000007 0000000000000000 0000000000000000 000003b0 2**0 CONTENTS, ALLOC, LOAD, READONLY, DATA 4 rodata 00000007 0000000000000000 0000000000000000 000003c0 2**0 CONTENTS, ALLOC, LOAD, READONLY, DATA 5 .comment 00000005 0000000000000000 0000000000000000 000003d0 2**0 CONTENTS, READONLY 6 .bss 00000041 0000000000000000 0000000000000000 000003e0 2**2 ALLOC 7 .text 0000001e 0000000000000000 0000000000000000 000003e0 2**4 CONTENTS, ALLOC, LOAD, RELOC, READONLY, CODE Conforme visto, para qualquer nome fora do padrão do formato (seções 2, 3 e 4), o comportamento padrão é uma seção de dados somente leitura. No entanto, ao usar um nome suportado, o tratamento é outro. Usar .rodata faz a string ficar numa seção somente leitura (a .data tem permissão de escrita), mas tem mais uma coisa: o alinhamento tá em 2**2 (contra 2**0 das outras seções "fora do padrão"). Casa exatamente com o que a documentação diz sobre o alinhamento das seções, onde 2**2 = 4 bytes. Em tempo, esta thread tá excelente. Muito obrigado por compartilharem conhecimento! Abraços, Fernando
  13. @Guilherme Thomazi Bonicontro que legal que você viu a notícia aqui e apareceu. És Brasileiro? Eu tentei novamente mas mesmo compilando a partir do código-fonte, só consegui infectar binários estáticos, veja: $ git clone https://github.com/guitmz/nim-cephei.git $ cd nim-cephei $ nim c -d:release cephei.nim Hint: used config file '/etc/nim.cfg' [Conf] Hint: system [Processing] Hint: cephei [Processing] Hint: streams [Processing] Hint: os [Processing] Hint: strutils [Processing] Hint: parseutils [Processing] Hint: math [Processing] Hint: algorithm [Processing] Hint: times [Processing] Hint: posix [Processing] Hint: osproc [Processing] Hint: strtabs [Processing] Hint: hashes [Processing] Hint: etcpriv [Processing] Hint: cpuinfo [Processing] Hint: linux [Processing] Hint: random [Processing] Hint: [Link] Hint: operation successful (24692 lines compiled; 0.265 sec total; 25.188MiB; Release Build) [SuccessX] $ cat hello.c #include <stdio.h> int main(void) { printf("testando...\n"); return 0; } $ make hello cc hello.c -o hello $ file hello hello: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/ld-linux-x86-64.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=0c8d7870667080bc470acc95fea4303edf5e1182, not stripped $ ./hello testando... $ ./cephei $ ./hello testando... $ rm hello $ CFLAGS=-static make hello cc -static hello.c -o hello $ file hello hello: ELF 64-bit LSB executable, x86-64, version 1 (GNU/Linux), statically linked, for GNU/Linux 2.6.32, BuildID[sha1]=c863151b3713bb6ba5d874288509b2a72e2a8428, not stripped $ ./hello testando... $ ./cephei $ ./hello Did you know that VV Cephei, also known as HD 208816, is an eclipsing binary star system located in the constellation Cepheus, approximately 5,000 light years from Earth? It is both a B[e] star and shell star. Awesome! https://en.wikipedia.org/wiki/VV_Cephei The more you know... :) testando... Estou fazendo algo errado? Grande abraço!
  14. Em tempo, hoje tava dando uma olhada nas ferramentas de linha de comando que vêm com o Visual Studio e descobri o MASM lá (ml.exe). Aqui fica em: C:\Program Files\Microsoft Visual Studio\2017\Community\VC\Tools\MSVC\14.11.25503\bin\Hostx86\x86 (a versão de 32-bits). Compilei o mesmo programa do post original do tópico com a seguinte linha: > ml.exe hello.asm /link /subsystem:windows O resultado do disassembly:
  15. Todas as palestras ministradas na REcon, a maior conferência sobre engenharia reversa do mundo, que aconteceu em Montreal este ano estão disponíveis (slides e vídeos), inclusive no YouTube. Dentre as várias apresentações interessantes está a Crypton Exposing malware deepest secrets, das pesquisadores Julia Karpin e Anna Dorfman da F5. Na palestra elas comentam que a ferramenta reduziu de várias horas (talvez dias) para apenas alguns minutos o trabalho de descriptografar arquivos de configuração de malware como o ZeusVM, Citadel e outros. Além disso, a palestra é muito divertida! Claro que não pára por aí! Tem gente falando de SGX, ER em hardware, celulares e muito mais! Não perde: https://recon.cx/2017/montreal/slides/ Em tempo, as palestras da REcon são ministradas em Inglês e infelizmente não há legenda disponível.
  16. Version 3.3.8

    39 downloads

    Este programa serve para inspecionar objetos OLE da Microsoft (documentos RTF, HWP, etc) e extrair dados, payloads, etc. Vale muito a pena também olhar os outros programas da MiTeC em http://www.mitec.cz.
  17. Version 1.10

    43 downloads

    Analizador gráfico de arquivos PE com recursos muito interessantes como: Cálculo de entropia. Categorização de strings (URL, chaves de registro, suspeitas...). Análise de delay imports. Análise detalhada de binários .NET. Mostra as TLS callbacks. E mais... O site oficial é https://www.mzrst.com e a versão 1.10 saiu em 10/10/2017. Pra funcionar é preciso instalar o Microsoft Visual C++ 2010 Redistributable pra sua plataforma (32 ou 64-bits), caso não tenha.
  18. Version 0.1

    54 downloads

    Conversor genérico para vários tipos de dados, strings, cálculo de hash, conversão de IP, etc. Muito legal! Vale a pena dar uma olhada nas outras ferramentas do mesmo autor! A senha para descompressão é "kahusecurity" (sem aspas).
  19. Fernando Mercês

    cpu_rec

    Version 1.0

    58 downloads

    cpu_rec.py é um script em Python para encontrar instruções Assembly de várias arquiteturas em arquivos arbitrários (qualquer tipo de arquivo).
×
×
  • Create New...