Ir para conteúdo
  • Cadastre-se

Leo

Membros
  • Total de itens

    7
  • Registro em

  • Última visita

Reputação

2 Neutral

Últimos Visitantes

O bloco dos últimos visitantes está desativado e não está sendo visualizado por outros usuários.

  1. Leo

    Engenharia reversa em interface vpn

    Eu queria realmente saber se existe alguma forma de "cortar caminho" na análise do funcionamento do driver, da mesma forma que é feita como um exemplo: análise de BoF em executaveis em um PE através do Immunity Debugger. Mas acontece que são vários arquivos que compõem um driver, eu gastaria muito tempo escovando bits. Queria saber se tem algum software para fazer este tipo de debbugin.
  2. Boa noite senhores, utimamente venho tendo um problema com o client OpenVPN do Windows. Possuo um link de 100mbps de download e upload no cliente(Windows7) e a mesma velocidade para o servidow OpenVPN(Ubuntu16.04). Percebi que tenho uma perda de 50% quando estou conectado pela VPN, mas esta perda só ocorre utulizando o Windows TAP driver (NDIS 6). Quando utilizo o Windows TAP driver (NDIS 5), que é a versão anterior a perca é de ~15%. Alguém poderia me dar uma dica de como fazer um engenharia reversa no driver pra tentar descobrir onde está dando o gargalo? Obrigado!
  3. @gzn, Segundo o README.txt presente no github da ferramenta, os tipos de dumps que o Volatily possibilita realizar são: - Raw linear sample (dd) - Hibernation file (from Windows 7 and earlier) - Crash dump file - VirtualBox ELF64 core dump - VMware saved state and snapshot files - EWF format (E01) - LiME format - Mach-O file format - QEMU virtual machine dumps - Firewire - HPAK (FDPro)
  4. Publiquei um post a respeito de dump de RAM nos sistemas operacionais Debian e CentOS... Em um futuro bem próximo estariei criando um tuto para dump em sistemas operacionais Windows.
  5. O Volatily é um framework opensource que possui licença pública GNU desenvolvido em python que é utilizado para fazer análise de dumps de memória RAM dos sistemas operacionais Linux, Windows e MAC Os; arquivos de hibernação do Windows, crash dumps entre outros. Veremos a seguir alguns comandos básicos que esta poderosa ferramenta pode nos oferecer... OBS: Consultar legendas. * O seguinte comando irá nos fornecer informações a respeito da imagem e do sistema operacional que iremos analisar(neste caso, é uma imagem da RAM de um OS Windows): # volatility -f <1>.dmp imageinfo * Para exibir uma lista de todos os processos que estavam sendo executados na nossa imagem, executamos o seguinte comando: # volatility -f <1>.dmp --profile=<2> pslist * Para fazer um dump do processo que estava sendo executado na memória utilizamos o comando: # volatility -f <1>.dmp --profile=<2> procdump -D <3> -p <4> Com a utilização do último comando teremos o arquivo que estava sendo executado na memória RAM e assim poderemos fazer uma análise de engenharia reversa caso seja um binário executavel, ou poderemos fazer a leitura do mesmo caso seja um script de linguagem interpretada. Legendas: 1= Nome da imagem do dump 2= Sugested Profile(s) descrito através do primeiro comando imageinfo 3= Destino para o dump do processo em memória 4= PID do processo Referências: link do github para a ferramenta: https://github.com/volatilityfoundation/volatility link do do vídeo no YouTube de onde foi tirado as explicações: https://www.youtube.com/watch?v=vhiRqu9AOdk
  6. Isso mesmo Cander, o Volatility tem somente a função de análise da memória previamente extraída.
  7. Bom dia, boa tarde boa noite srs e sras. Fiz um pequeno tutorial técnico e bem objetivo sobre extração do conteúdo da memória ram de sistemas operacionais GNU/Linux, CentOS 7 e Debian 9.3 para ser mais específico. Para criar o tutorial realizei dois laboratórios em máquinas virtuais utilizando o VirtualBox 5.1.30 r118389 (Qt5.7.1). Para os dois laboratórios utilizei as ISOs mínimas para ter certeza de de estar instalando apenas os pacotes necessários para executar o módulo LiME. e sobreescrever o mínimo possível da memória ram para que não prejudique analises posteriores. Debian 9 (debian-9.3.0-amd64-xfce-CD-1.iso) 1) Como root crie o arquivo com o seguinte comando: # echo "menteb.in/apoie" > ~/teste 2) Remova de forma permanete do disco: # shred -n 3 -u ~/teste 3) Adicione o seguinte conteúdo dentro do arquivo /etc/apt/source.list (Neste ponto será adicionado uma lista de links onde o OS conseguirá encontrar os pacotes que iremos mandar instalar no próximo passo) deb http://deb.debian.org/debian stretch main deb-src http://deb.debian.org/debian stretch main deb http://deb.debian.org/debian stretch-updates main deb-src http://deb.debian.org/debian stretch-updates main deb http://security.debian.org/ stretch/updates main deb-src http://security.debian.org/ stretch/updates main 4) # apt update (Aqui acontece uma indexação dos pacotes que estçao disponíveis) 5) # apt-get install linux-headers-$(uname -r) gcc make git (Aqui é instalado todos os pacotes necessários para compilar e executar o software que usaremos para fazer a extração) 6) # git clone https://github.com/504ensicsLabs/LiME.git (Neste comando estamos fazendo exatamente um clone dos arquivos disponíveis no Github para compila-lo nos próximos passos) 7) # cd LiME/src (Acessamos o diretório onde se encontra os arquivos que devem ser compilados) 8) # make (Aqui acontece a compilação do binário, que é o módulo que irá fazer uma cópia de todo conteúdo da memória ram) 9) # insmod lime-*.ko "path=/root/mem.dump format=lime" ( Nesta parte o módulo é executado, observer os seguintes parâmetros: insmod: Comando para executar/instalar o módulo lime-*.ko: Utlização de regex por ser desconhecido qual a versão do kernel onde foi compilado. path=/local/onde/será/despejado/a/momória format=<consultar referências> ) 10) # rmmod lime (O módulo pode ser removido pois a memória ram já foi clonada) 11) Para finalizar vamos fazer uma pequena leitura no arquivo com o comandos stings (Testes finais) # cd ~ # strings mem.dump | less Digite / para iniciar a pesquisa dentro do arquivo digite menteb.in/apoie, em seguida dê enter... Desta forma conseguirá ver o comando executado para criar o arquivo. CentOS7(CentOS-7-x86_64-Minimal-1708.iso) 1) Como root crie o arquivo com o seguinte comando: # echo "menteb.in/apoie" > ~/teste 2) Remova de forma permanete do disco: # shred -n 3 -u ~/teste 3) yum install kernel-headers-$(uname -r) gcc make git 4) # git clone https://github.com/504ensicsLabs/LiME.git (Neste comando estamos fazendo exatamente um clone dos arquivos disponíveis no Github para compila-lo nos próximos passos) 5) # cd LiME/src (Acessamos o diretório onde se encontra os arquivos que devem ser compilados) 6) # make (Aqui acontece a compilação do binário, que é o módulo que irá fazer uma cópia de todo conteúdo da memória ram) 7) # insmod lime-*.ko "path=/root/mem.dump format=lime" ( Nesta parte o módulo é executado, observer os seguintes parâmetros: insmod: Comando para executar/instalar o módulo lime-*.ko: Utlização de regex por ser desconhecido qual a versão do kernel onde foi compilado. path=/local/onde/será/despejado/a/momória format=<consultar referências> ) 8) # rmmod lime (O módulo pode ser removido pois a memória ram já foi clonada) 9) Para finalizar vamos fazer uma pequena leitura no arquivo com o comandos stings (Testes finais) # cd ~ # strings mem.dump | less Digite / para iniciar a pesquisa dentro do arquivo digite menteb.in/apoie, em seguida dê enter... Desta forma conseguirá ver o comando executado para criar o arquivo ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ Em breve alguma coisa sobre windows... Qualquer erro que precisa ser corrigido ou dúvidas estou a disposição...
×