viernes, 22 de febrero de 2013

Libros para Seguridad Informática
Bueno en esta ocación, unos amigos me han dicho si tengo algo de material y libros para que  puedan leer , la verdad, le confiezo que no soy de leer muchos libros.... ^_^ ..Pero espero que a usted si les sirva de ayuda......Bueno en este post voy a presentar algunos libros que he obtenido en este breve tiempo...^_^

Cabe mencionarles que la mayoria de libros de estos temas estan en ingles, pero como estan en pdf, usted puede convertirnos con un programa a archivos word, luego poder utilizar un traductor para poder tenerlo en el idioma que usted desea, creo que para este caso seria el español... ^_^......Pues sin mas que decir....Que comienze el desfile de los libros...!!!!!..... ^_^



SQL Injection Attacks and Defense - Justin Claake









The Basics of Hacking and Penetration Testing - Ethical Hacking - Patrick Engebretson









The RootKit Arsenal - Reverend Bill Blunden









Malware Analyst's - Tools and Techniques for Fighting Malicious Code 









Coding For Penetration Testers - Jason Andreess - Ryan Linn









Hacking Exposed 7 - Network Security Secrets & Solutions









Network Forensics - Tracking Hackers Through Cyberspace









The Ida Pro Book - 2ND Edition









The Shellcoders Handbook








Bueno creo que despues de haber explicado acerca del "gusanito" flame, no es necesario dar una definición acerca de lo que tratan estos libros, por ejemplo que es SQLi o un Shellcoe... ^_^ ... Bueno espero que estos libros les sea de utilidad......Espero que el idioma no les sea un inconveniente, porque si uno quiere aprender lo leeria hasta en chino...xD!!!!!..


Al parecer ya no tengo nada mas que adicionar, asi que me despido y será hasta la próxima .....Nos vemos..... ^_^....






lunes, 11 de febrero de 2013

Estudiando a Flame - Módulos




En este post vamos a tratar hacerca del gusano flame, pero especificamente hablar acerca de su modulo principal, que como es de imaginarse tiene un sinfin de informacion que esta siendo investigada por diversos especialistas en seguridad informatica de todo el mudo (Laboradorios). Primero vamos a ver una pequeña reseña de como surgio Flame y posteriormente vamos a centrarnos en algunos módulos... ^_^....Pues comenzemos.... =D

Realmente no hay poco que decir acerca de Flame ya que por el momento no se tiene demasiada información sobre este nuevo malware, todo apunta que Flame es capaz de robar contraseñas del ordenador, claves de cuentas, copias de todo lo que se teclea, pantallazos, además de interceptar conversaciones de audio a través de Skype o incluso activar el micrófono del equipo para iniciar una grabación..... =[



Su estructura es diferente a los virus normales y a los muy especializados , contiene cerca de 100 veces más cantidad de código que un virus común, algunos especialistas en seguridad han empezado a señalar que Flame (llama en español) constituye el arma cibernetica mas compleja creada hasta el momento.

Flame tiene componentes de un troyano, un backdoor, y un gusano, y está diseñado para atacar máquinas Windows. Por el momento los investigadores no parecen saber cómo entró a la red, pero han identificado una vulnerabilidad de Windows que el malware es capaz de explotar.


Al ser tan complejo Flame, su estudio se hace muy complicado, pero en esta ocasion nos vamos a central en el modulo principal que lleva el nombre de MSSECMGR.OCX.



MSSECMGR.OCX

El módulo principal de la llama es un archivo DLL llamado mssecmgr.ocx. Hemos descubierto dos modificaciones de este módulo. La mayoría de las máquinas infectadas contenía su "gran" versión, 6 MB de tamaño, y la realización y despliegue de módulos adicionales. El tamaño de la versión más pequeña de tan solo 900 Kb y no contiene módulos adicionales. Después de la instalación, el pequeño módulo se conecta a uno de los servidores C & C y trata de descargar e instalar los componentes restantes de allí.

Mssecmgr puede ser llamado diferentes nombres reales en máquinas infectadas, dependiendo del método de infección y el estado actual interno del malware (instalación, la replicación, actualización), por ejemplo, wavesup3.drv, ~ zff042.ocx, msdclr64.ocx, etc


Como dije anteriormente no se conoce mucho de este módulo, lo poco que se sabe acerca de su funcionalidad y su forma de adaptarse a los difetentes entornos, es minimo, a continuacion voy a poner lo que hasta el momento he podido analisar y averiguar de distintas fuentes...=)

La primera activación de este archivo es iniciada por uno de los rasgos externos - ya sea herramientas de Windows WMI mediante un archivo MOF, si el exploit MS10-061 se utiliza, o utilizando un archivo BAT como el siguiente :

s1 = new ActiveXObject ("Wscript.Shell");s1.Run ("% SystemRoot% \ \ system32 \ \ rundll32.exe msdclr64.ocx, DDEnumCallback");(Código fuente del archivo MOF, svchostevt.mof)
Cuando se activa, mssecmgr se registra como un paquete de autenticación personalizada en el Registro de Windows :

HKLM_SYSTEM \ CurrentControlSet \ Control \ LsaPaquetes de autenticación = mssecmgr.ocx [añadido a las entradas existentes]


En el siguiente arranque del sistema, el módulo es cargado automáticamente por el sistema operativo.



 

Después de actualizar el registro de Windows, mssecmgr extrae los módulos adicionales que están presentes en su sección de recursos cifrado y comprimido (recurso "146") y los instala. El recurso es un diccionario que contiene las opciones de configuración para los módulos mssecmgr y otros, a los propios módulos (archivos DLL) y los parámetros que deben pasarse a estos módulos para carga correctamente, es decir, las claves de descifrado.Cuando la instalación se haya completado, mssecmgr carga módulos disponibles y comienza varios hilos de ejecución que poner en marcha un canal para los servidores C & C y Lua anfitrión intérprete, y otras características - en función de la configuración. La funcionalidad del módulo se separa en diferentes "unidades" que tienen espacios de nombres diferentes en la configuración de recursos y tienen nombres diferentes en los mensajes de registro, que se usan ampliamente en todo el código.


Las unidades disponibles del recurso 146 con las siguientes : 





  • Beetlejuice

Bluetooth: enumera los dispositivos alrededor de la máquina infectada.
Puede convertirse en un "faro": anuncia la computadora como un dispositivo de detección y codificar la situación del malware en la información del dispositivo usando base64.

  • Microbe : 

Graba audio desde fuentes de hardware existentes. Muestra todos los dispositivos multimedia, configuración tiendas dispositivo completo, trata de seleccionar el dispositivo de grabación adecuado.

  • Infectmedia : 

Selecciona uno de los métodos para infectar a los medios de comunicación, es decir, dispositivos USB. Los métodos disponibles: Autorun_infector, euforia.

  • Autorun_infector :

Crea "autorun.inf" que contiene el malware y se inicia con una costumbre "abrir". El mismo método fue utilizado por Stuxnet antes de emplear el exploit LNK.

  • Euphoria :

Crear un "punto de unión" de la guía con "desktop.ini" y "Target.lnk" de Link1 y LINK2 entradas de recursos 146 (no estaban presentes en el archivo de recursos). El directorio actúa como un atajo para lanzar Flame.

  • Limbo : 

Crea cuentas de puerta trasera con login "Asistente de ayuda" en las máquinas dentro del dominio de la red si los derechos adecuados.

  • Frog : 

Infecta máquinas que utilizan predefinidos cuentas de usuario. La cuenta de usuario sólo se especifica en la 
configuración de recursos es "Asistente de ayuda" que es creado por el "Limbo" ataque.

  • Munch : 

Servidor HTTP que responde a "/ view.php" y "/" wpad.dat peticiones.

  • Snack : 

Escuchas en interfaces de red, recibe y guarda los paquetes NBNS en un archivo de registro. Tiene una opción para iniciarse sólo cuando "Munch" se ha iniciado. Los datos recogidos se utiliza entonces para replicar por red.

  • Boot_dll_loader : 

La sección de configuración que contiene la lista de todos los módulos adicionales que deben ser cargados y se inicia.

  • Weasel : 

Crea una lista de directorios de la computadora infectada.

  • Boost : 

Crea una lista de"interesantes" los archivos usando varias máscaras de nombre de archivo.

  • Telemetry : 

Se encarga del registro de instalaciones.

  • Gator : 

Cuando una conexión a Internet disponible, se conecta al servidor C & C, los módulos nuevos enlaces, y carga los datos recogidos.

  • Security :

Identifica los programas que pueden ser peligrosos para la llama, es decir, los programas anti-virus y firewalls.

  • Bunny - Dbquery - Driller - Headache - Gadget

Por el momento se desconoce el funcionamiento de estos modulos, pero tengo una probable sospecha, que posteriormente se las voy a comentar.



Los módulos adicionales se instalan en la carpeta%windir%\system32\directorio:

  • mssecmgr.ocx
  • advnetcfg.ocx
  • msglu32.ocx
  • nteps32.ocx
  • soapr32.ocx
  • ccalc32.sys
  • boot32drv.sys


Módulos adicionales descargados desde los servidores C & C se instalan en el mismo directorio.

Los módulos del malware Flame producir una gran cantidad de archivos de datos que contienen los registros extensos de ejecución, además de la información recogida - capturas de pantalla, listas de procesos, listas de hardware, etc


Los archivos se guardan en la carpeta% windir% \ temp con los siguientes nombres:

  1. ~DEB93D.tmp
  2. ~8C5FF6C.tmp
  3. ~DF05AC8.tmp
  4. ~DFD85D3.tmp
  5. ~DFL. tmp
  6. ~dra*.tmp
  7. ~fghz.tmp
  8. ~HLV*.tmp
  9. ~KWI988.tmp
  10. ~KWI989.tmp
  11. ~rei524.tmp
  12. ~rei525.tmp
  13. ~rf288.tmp
  14. ~rft374.tmp
  15. ~TFL848.tmp
  16. ~TFL849.tmp
  17. ~mso2a0.tmp
  18. ~mso2a1.tmp
  19. ~mso2a2.tmp
  20. ~sstab*.dat

También hay archivos opcionales que se pueden encontrar en el directorio% windir% \ system32:

  1. Advpck.dat
  2. ntaps.dat
  3. Rpcnc.dat

 


Además, en% windir% \ encontrara :
Ef_trace.logAqui Flame almacena sus datos persistentes en archivos con formatos diferentes. Todos los datos se cifran mediante varios algoritmos y claves. Algunos de los archivos son bases de datos creadas con una biblioteca incorporada SQLite3. Estas bases de datos contienen los datos producidos por ambas robo de datos y las rutinas de replicación. Vamos a proporcionar más información acerca de estos archivos en publicaciones posteriores.




Los nombres de los directorios utilizados por los componentes adicionales de la llama puede variar ligeramente en función del tipo de instalación y las opciones de configuración del recurso 146:


C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSSecurityMgrC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSAudioC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSAuthCtrlC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSAPackagesC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSSndMix



Estos directorios pueden contener los siguientes archivos:

  1. dstrlog.dat
  2. lmcache.dat
  3. mscrypt.dat (o wpgfilter.dat)
  4. ntcache.dat
  5. rccache.dat (o audfilter.dat)
  6. ssitable (o audache)
  7. secindex.dat
  8. wavesup3.drv (una copia del módulo principal, mssecmgr.ocx, en el directorio MSAudio)

Carpeta de archivos Temporales 




Llama también pueden producir o descargar archivos con los siguientes nombres:

  • svchost1ex.mof
  • Svchostevt.mof
  • frog.bat
  • netcfgi.ocx
  • authpack.ocx
  • ~a29.tmp
  • rdcvlt32.exe
  • to961.tmp
  • authcfg.dat
  • Wpab32.bat
  • ctrllist.dat
  • winrt32.ocx
  • winrt32.dll
  • scsec32.exe
  • grb9m2.bat
  • winconf32.ocx
  • watchxb.sys
  • sdclt32.exe
  • scaud32.exe
  • pcldrvx.ocx
  • mssvc32.ocx
  • mssui.drv
  • modevga.com
  • indsvc32.ocx
  • comspol32.ocx
  • comspol32.dll
  • browse32.ocx

Recomendaciones al usuario acerca de Gusano Flame


Como consecuencia de ello, podemos proporcionar un método para una rápida "manual" de sus sistemas de control de la presencia de una infección de la Flame :



Pasos para comprobar su posible infección de Flame

1. Realice una búsqueda para el archivo ~ DEB93D.tmp. Su presencia en un sistema significa que es o ha sido infectado por Flame.

2. Compruebe la HKLM_SYSTEM clave de registro \ CurrentControlSet \ Control \ Lsa \ Packages autenticación.

Si encuentra mssecmgr.ocx o authpack.ocx allí - usted está infectado con Llama.



3. Verificar la presencia de los siguientes catálogos. Si está presente - que está infectado.C: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSSecurityMgrC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSAudioC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSAuthCtrlC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSAPackagesC: \ Archivos de programa \ Archivos comunes \ Microsoft Shared \ MSSndMix



4. Llevar a cabo una búsqueda para el resto de los nombres de archivo dadas anteriormente. Todos ellos son únicos y su ser descubierto significaría que hay una fuerte posibilidad de una infección por parte de Flame.



Bueno creo que fue un análisis algo breve, pero espero que hayan entendido el funcionamiento de este "Gusanito" ..... Si gustan pueden buscar mas información acerca de este virus en internet, pero en este post he tratado de abarcar varios ramas de esta herramienta Cibernética.


Bueno creo que ya no tengo nada mas que adicionar, excepto que de ustedes depende investigar mas a fondo las funcionalidades y la estructura de esta "Arma"......Por último espero que haya sido de su gusto este post y sera para la próxima......Nos vemos.....=D







Matriux  - Sistema Operativo para Pentest





Es una distribución de seguridad que consiste en un poderoso conjunto, de herramientas libres y de código abierto que pueden ser utilizadas para varios propósitos incluyendo, pero no limitado a penetration testing, hacking ético, administración de sistemas y redes, investigaciones forenses, pruebas de seguridad, análisis de seguridad, y mucho más. Esta es una distribución diseñada para entusiastas y profesionales de la seguridad, aunque puede utilizarse normalmente como sistema de escritorio.

Matriux esta diseñado para ejecutarse en un ambiente Live, como un CD / DVD o Memoria USB, o bien puede ser fácilmente instalado en el disco rígido, en simples pasos. Matriux también incluye una serie de herramientas para el análisis forense y recuperación de información.





El Arsenal de Matriux contiene una gran colección de las más útiles y versátiles herramientas de pruebas de penetración.


Categorias :


  • Reconnaissance
  • Scanning
  • Gain Acces (Herramientas de Ataque)
  • Framework
  • Radio
  • Digital-Forensics
  • Debugger
  • Tracer
  • Misc (Variado)


Descargar : http://www.matriux.com/index.php?page=download

Bueno cabe resaltar que la instalación es muy similar a BugTraq y BackTrack.....Creo que seria innecesario hacer detalles al respecto... ^_^

Presentación de Matriux




Bueno vamos a mostrar algunas herramientas que nos trae esta nueva Distribucion para entusiastas que involucrados en el mundo de la seguridad informática...^_^

Scanning



Framework - Smart Phone Pentest ( Seguridad Mobil )




Aqui podemos observar una variedad de herramientas muy utiles para hacer pruebas de seguridad tanto a aplicaciones como a redes.....^_^ ....Tambien podemos observar a la potente herramienta de mapeo de información como lo es Maltego... ^_^



Bueno para terminar he abrierto una de mis favoritas herramientas......^_^....En anteriores post ya he hablado de esta herramienta, que es muy util y eficaz cuando hay que explotar alguna vulnerbilidad SQLi......pues no hay mejor herramienta para este trabajo que SQLNinja...... =D




Bueno espero que esta presentación de este Sistema Operativo les haya sido de utilidad.....Talvez algunos no conocía su existencia, pues este post esta dedicado para ellos...^_^..... No olviden que siempre es mejor disponer de varias opciones para asi poder hacer una selección de lo que mejor nos conviene en nuestro propio entorno......^_^


Creo que ya no tengo nada mas que adicionar......Así que me despido y sera hasta la próxima....Nos vemos muy pronto..... ^_^











domingo, 10 de febrero de 2013

Dnsenum - Recopilación de Información



Dnsenum es una herramienta que fue diseñada con el propósito de enumerar información DNS sobre un dominio.La información que se puede obtener  con esta herramienta puede ser muy util cuando nos vamos a disponer de hacer una prueba de seguridad al dominio respectivo.

El DNSenum comenzará consultar los servidores DNS .EL primero que dato que vamos a obtener es la dirección del host .Posteriormente vamos a obtener los servidores de nombres que nos dan una idea de la proveedor de alojamiento que se está utilizando y después de eso es el registro MX en el que podemos ver el servidor de correo de nuestro host de destino.



Caracteristicas de Dnsenum :


  • Obtenga Dirección del host (registro A)
  • Obtener el namservers (roscada)
  • Obtener el registro MX (roscada)
  • Realizar consultas sobre AXFR servidores de nombres (roscada)
  • Obtenga los nombres adicionales y subdominios a través de raspado google (google consulta = "allinurl: www-site: dominio")
  • La fuerza bruta subdominios de archivo, también puede realizar la recursividad en subdominio que tiene registros NS (todos roscado)
  • Escriba a domain_ips.txt archivo ip-bloques.


Bueno creo que es momento de hacer una pequeña prueba, para este caso voy a utilizar el Dnsenum que ya viene como herramienta insertada en BackTrack 5R3 .. ^_^... Ahora si gustan pueden instalarlo, cabe resaltar que primero debes de instalar Perl, ya que en la herramienta esta hecha en ese lenguaje, y posteriormente deberias de instalar algunas dependecias atravez de CPAN.... ^_^ ... Al finalizar solo deberias descargar la herramienta y ....Listo.........Bueno abriremos nuestro BackTrack...... ^_^



Si gustan pueden abrirlo mediante una terminal..... ^_^



Listo...!!!!!!!!!!!!!!!!!!!!




Opciones Generales :


  • -dnsserver <servidor>

     Utilice este servidor DNS para las consultas a NS y MX.

  • -enumeración
     Acceso directo equivalente a la opción - hilos 5-S 20-W.

  • -h, - help
     Mostrar este mensaje de ayuda.

  • - noreverse
     Evite las operaciones de búsqueda reversas.

  • - privada
     Mostrar y guardar ips privadas al final de la domain_ips.txt archivo.

  • - subfile <archivo>
     Escribir todos los subdominios válidos para este archivo.

  • -t, - timeout <valor>
     El tcp y udp valores de tiempo de espera en segundos
     (por defecto: 10s).

  • - Temas <valor>
     El número de subprocesos que se llevará a cabo diferentes consultas.

  • -v, - verbose
     verbose: mostrar todos los avances y todos los mensajes de error.


Opciones de Google scraping


  • -p, - páginas <valor>
     El número de páginas de búsqueda de Google para procesar al raspar los nombres, el valor predeterminado es de 20 páginas, el S-switch debe ser especificado.

  • -s, - chatarra <valor>
     El número máximo de subdominios que serán tomadas por raspado del google.


Opciones de fuerza bruta


  • -f, - file <archivo>
     Leer subdominios de este archivo para realizar fuerza bruta.

  • -u, - update <a|g|r|z>
     Actualice el archivo especificado con el f-switch con subdominios válidos.
  1.  a : Actualización con todos los resultados.
  2.  g : Actualización mediante raspado sólo resultados de google.
  3.  r : Update utilizando sólo los resultados de búsqueda inversa.
  4.  z : actualización con resultados sólo zonetransfer.
  • -r, - recursión
     La recursividad en subdominios, y la  fuerza bruta descubre todos los subdominios que tienen el registro  NS.

Bueno ahora vamos a realizar una pequeña prueba de nuestra herramienta Dnsenum..... ^_^...Para esta pequeña prueba voy a eligir la siguiente web -----> https://www.fbi.gov.......^_^.......Bueno a comprobar se ha dicho........


Abrimos nuestro Dnsenum y digitamos lo siguiente : 

~# perl dnsenum.pl fbi.gov



Bueno como podemos observar nos nuestran los sudominios de nuestro objetivo ...^_^.....Cabe resaltar que podemos extraer mucha mas información, pero eso ya un trabajo para ustedes.....^_^....Esta herramienta puede ser muy podedosa para quienes saber utilizarla correctamente.. =D 


Bueno creo que eso es todo por el momento......Espero que les sea de mucha utilidad esta herramienta ya que como menciono es una muy buena herramienta.... ^_^ .....Bueno creo que ya no tengo nada mas que decir .......Así que me despido y será hasta la próxima.....Nos vemos...... =D






lunes, 4 de febrero de 2013

Libemu - Pylibemu 


Una de las herramientas más utilizadas para analizar e identificar posibles shellcodes es Libemu. La idea de esta librería, escrita en C e implementada en frameworks como Dionaea o PhoneyC, es emular instrucciones x86 e identificar/hookear llamadas a la API de Windows, con la que poder obtener información suficiente del código sin necesidad de llevar un análisis exhaustivo con debbugers como Inmunity u Olly.

Libemu utiliza técnicas heurísticas GetPC (Get Program Counter) para localizar shellcodes que utilizan encoders como shikata ga nai, fnstenv_mov, etc. Raro es encontrarse payloads que no utilicen algún tipo de cifrado o encoder para intentar evadir IDS/AV, por lo que esta característica lo hace realmente útil para buscar posibles shellcodes en ficheros .pcap, exploits, pdf, etc.

Instalacion : 

Primero vamos a abrir nuestra consola y voy en a digitar en mi caso, en el suyo solo sera copiar...xD!!!


Instalando algunas dependencias para el proceso de construcción.


 1.- ~# sudo apt-get install build-essential git-core autoconf libtool python-dev


Obtención libemu vía Git.


 2.- ~# cd /tmp/
 3.- ~# git clone git://git.carnivore.it/libemu.git


Configure e instale. 


 4 .- ~# cd /tmp/libemu/
 5 .- ~# autoreconf -v -i
 6 .- ~# ./configure --enable-python-bindings --prefix=/opt/libemu
 7 .- ~# sudo make install
 8 .- ~# sudo ldconfig -n /opt/libemu/lib


Ahora instale el pylibemu, el envoltorio de Python para la biblioteca Libemu.
Comenzamos con algunas dependencias para el proceso de construcción.


 9 .- ~# sudo apt-get install python-dev python-setuptools


Obtención pylibemu vía Git.


10 .- ~# cd /tmp/
11 .- ~# git clone https://github.com/buffer/pylibemu.git


Construir e instalar.


12 .- ~# cd /tmp/pylibemu/
13 .- ~# sudo sh -c "echo /opt/libemu/lib > /etc/ld.so.conf.d/pylibemu.conf"
14 .- ~# python setup.py build
15 .- ~# sudo python setup.py install


Listooo...!!!!!!!!!!!!!!

Bueno como ya lo hemos mencionado esta herramienta se encarga de analizar posibles shellcode ......Para poder probarlo vamos a jugar un poco con un payload de metasploit  .... =D ...

Pues es momento de abrir una vez mas nuestra gran y querida consola... =D


Podemos observar la  representacion de la salida generada por una de sus herramientas, sctest, la cual acepta como parámetro el binario que queremos analizar (S) y el número de pasos a ejecutar/emular (s).

Como vemos, la salida nos ofrece en detalle cada una de las APIs utilizadas por el shellcode, ofreciéndonos información más que suficiente para hacernos una idea del objetivo del mismo: descargar un binario (exploit.exe) de cierto sitio web mediante la llamada URLDownloadToFile y la ejecución del mismo con WinExec. Además, nos indica que dicha shellcode se encuentra a partir del offset 0×00000015.



Podemos observar la información que nos brinta del codigo con la ayuda de sctest, pero cabe decirles que tambien posee ciertas limitaciones, se podria decir que tiene un número limitado de APIs. Pero no se preocupen ya va a recibir apoyo de scbd, que se podria decir que es como una optimizacion de sctest.

Pues sin mas que decir vamos a poner a prueba a scdbg.....^_^



La salida muestra de forma más limpia cada una de las funciones utilizadas por el shellcode así como el offset de su decoded stub. Cabe resaltar que con scdbg podemos también desensamblar código a partir de un offset determinado (parámetros /disam y /foff) sin necesidad de utilizar herramientas externas.




Otra de las grandes ventajas de scdbg es la hacer un volcado de memoria una vez decodificado el shellcode (parámetro /d) lo que nos ahorra bastante tiempo para analizar el código usando cualquier otra herramienta.


Como podemos observar scdbg genera el fichero /tmp/shell.bin.unpack que posteriormente visualizamos con la opción /dump y donde ya podemos ver en claro ciertos strings correspondientes a las APIs llamadas por el shellcode. El dump también nos resaltará en amarillo los opcodes E8 (call) y E9 (jmp) así como el nop sled del comienzo para facilitar su lectura.

A parte de estas funcionalidades, una de las mayores ventajas de scdbg es su capacidad de debugging (ejecutar paso a paso instrucciones, fijar breakpoints, visualización de la pila, etc.).

Supongamos que queremos ejecutar paso a paso el código a partir de la dirección 4010FD, donde URLDownloadToFile es invocada, y visualizar el estado del stack. Para ello usaremos la opción laa (log after address), verbose 3 y el modo interactivo (-i).



Si vamos a interactuar con el código de forma interactiva, será realmente útil cuando necesitemos hookear llamadas a funciones que reciban parámetros por medio de sockets y con las que podremos enviar nuestros propios datos con herramientas externas para ver su comportamiento.

Para terminar, scdbg cuenta con un modo “report” (-r) ofreciéndonos un resumen generalizado de la  toda la información que se ha podido analizar del codigo...... ^_^......Pues sin mas que decir vamos a probar este parametro.....^_^



Aparte de informarnos de la API empleada por el código, podemos notar que nos entrega el return address de las mismas, cuya información no nos ofrecía sctest.

Sin lugar a dudas Scdbg nos facilita enormemente las cosas a la hora de analizar malware y porsupuesto que es una excelente modulo para el pentest de malware o codigo malicioso.....^_^

Bueno creo que eso es todo hasta el momento, espero que este post les sea de utilidad a la hora de enfrentarnos al un codigo sospechoso...... ^_^......Creo que ya no tengo nada mas que adiconar......Así que me despido y sera hasta la próxima.......Nos vemos.... =D