Postagens

Malware faz ataque DDoS em sites

Imagem
A maioria de Malwares são enviados pela internet para infectar vitimas, mas pode acontecer que a vitima seja infectada com dispositivo como o Pen Drive.  Este worm  foi envido por e-mail, pode vim como um ícone de uma PASTA ou de imagem conforme a manipulação da extensão. Ele pode se replicar em USBs e Pen drives. e etc. Ao abrir o malware no identificador DIE, o resultado que ele retornou que esta com um packer chamado  MEW ( conhecido como MORPHINE ), provavelmente  v1.1. O atacante faz esse tipo proteção do malware para não só diminuir o tamanho mas para ofuscar o código e dificultar o trabalho na hora de analisar. Essa e outros tipos de proteção que o malware foi submetido é uma técnica chamada de anti-revese, é a onde o autor do malware submete a varias camadas de proteção, para deixar  indetectável pelo anti-virus, bypass firewall, e etc. Na verdade deixa ele camuflado. Para tirar essa proteção utilizei o XVOLKOLAK que tirou o packer do nosso arquivo, depois f
1 comentário
Leia mais

Como usar xvolkolak

Imagem
Muitos programas são protegidos por um packer  (" VMProtect ,UPX,Themida ... ")  para manter a integridade do seu código dificultando para quem tentar analisar seu código através de um debug como o famoso OllyDbg. Essa é uma técnica de anti-revese que alem de comprimir o artefato também deixa quase que impossível  alguém ver o código protegido pelo packer, se o analista não tiver um conhecimento avançado com técnicas anti-revese para fazer o Unpacker manualmente a analise dele acaba ali mesmo. Existem programas que fazer todo o trabalho de unpacker facilitando nossa vida, como o  xvolkolak que tem uma lista com vários packer famosos, utilizo bastante esse programa que livre e ate agora não teve nenhum packer que ele não quebrou. Para iniciar o processo arraste o artefato ate a janela do  xvolkolak   ou manualmente ... e navegue ate o arquivo. Automaticamente ele escaneia para ver se esta com algum packer de sua lista, se nao estiver ele retorna na tela com
Postar um comentário
Leia mais

TUTORIAIS DE ENGENHARIA REVERSA

Imagem
Aqui vou por os links dos meus tutoriais de egenharia reversa. Vale lembrar que engenharia reversa é completamente legal desde que não utilize aplicativos comerciais ou que não infrinja nenhum direito autoral. Nos meus tutoriais foram utilizados programas criados exclusivamente para esse tipo de estudo TUTORIAIS - Tutorial #1  -  Encontrando a mensagem secreta  - Nível 1/10 - 23/09/06 - Tutorial #2  -  Buscando a senha correta  - Nível 1/10 - 25/09/06 - Tutorial #3  -  Entendendo algorítmos  - Nível 2/10 - 25/09/06 - Tutorial #4  -  Removendo Nag Screens - Nível 1/10 - 01/10/06 - Tutorial #5  -  Criando um Patcher  - Nível 2/10 - 01/10/06 - Tutorial #6  -  Descompactando UPX  - Nível 2/10 - 03/10/06 - Tutorial #7  -  Armadilhas e alteração do código  - Nível 2/10 - 17/10/06 - Tutorial #8  -  Alterando controles  - Nível 1/10 - 25/10/06 - Tutorial #9  -  Solução do Desafio #1  - Nível 3/10 - 25/10/06 - Tutorial #10  -  Injetando códigos  - Nível 2/10 - 31/10/06 - Tutorial #11
Postar um comentário
Leia mais

INJETANDO CÓDIGOS

Imagem
Neste tutorial vamos ver como injetar novos códigos em um executável já compilado. Vamos modificar o bloco de notas do windows para que exiba uma simples mensagem de texto ( pois é uma das função mais fáceis que o Windows fornece ) quando for iniciado. Antes de tudo, faça uma cópia do bloco de notas ( C:\WINDOWS\notepad.exe ) para uma pasta qualquer ( vamos usar essa cópia, pra preservar o original ). O que nós vamos fazer é o seguinte: desviar o início do código do notepad para outro local, exibir a mensagem e depois retornar ao ponto original. Para fazer isso, precisamos encontrar na seção do código do notepad, um local vazio, que não altere a funcionalidade do programa, o que é chamado de "Code-cave". Abra o notepad.exe no Olly e role o código para baixo. Lá pelo offset 8747 você deve encontrar o início da code-cave, uma seção sem código algum, apenas com valores 00: Essa região a partir de 8747 é a que vamos utilizar para escrever nosso código. Como diss
Postar um comentário
Leia mais

Analise Cibernetica: Keygen feito em Python

Imagem
Este e um keygen simples feito em python, ele e voltado  a resolver um algoritmo de um crack-me que encontrei  na net, e como agente não ver por ai como é feito um keygen fiz o meu próprio em um script bem simples mas que funciona. lembrando que isso deve ser usado para fiz educacionais. ############################## # Autor: Aof                                       # # date: 09/06/2018                            #  # name: KEyGen User and Pass      # ############################## string =  input (' user:  ')                        #entrada do usuario const = 51651293                             #serial inicial. obs uma constante print (' Pass for user:  '+string) #loop que faz o Bitwise for  i  in  string:     x= ord(i)                                           #pega o valor ascii do 'i' e move para o x      #print(x)     const += x                                      #soma o const com o valor de x   print (const)                 
Postar um comentário
Leia mais

Como mudar o Entry Point de Um Executavel

Imagem
Nesse tutor você vai aprender a mudar o entry point  de qual binário usando uma ferramenta muita boa. Estou falando do OllyDbg, essa e mas uma técnica  que se pode fazer com o olly. Tools: vamos usar o OllyDbg e ExeInfor PE,    Alvo: Change OEP 1  Abra o nosso  programa teste Change OEP no olly FILE>OPEN . ou arraste o arquivo para dentro do olly. perceba que o olly ja deixa selecionado   o Original Entry Point no nosso casso e o endereço 00401280 e nos iremos mudar para o endereço  00401340. 2 V amos alterar o entry point para o 00401340 onde esta nossa MessageBox e nosso site. 3 Primeiro vc click nesse butao com  a letra " M ", que e uma atalho para uma janela chamada Memory Map. 4 Na janela Memory Map  existem varias colunas, nossas colunas principais sao Address e Size, para facilitar selecione o local onde esta o OEP, der dois clicks na linha selecionada a baixo. 5 Vai abrir outra janela com
Postar um comentário
Leia mais

Ofuscando Código de Malware e software

Imagem
No inicio dos meus estudos autodidata em Engenharia Reversa, me deparei com um programa chamado UPX que tem uma função de comprimir e ofuscar o código de qualquer software, ou seja, usado pelo pessoal que quer dificultar analise do artefato. Ele é muito usado por ser um software livre sem custo algum. Existe muitos software que fazer esse trabalho de ofuscação e compressão de executável (Ex: Asprotect, VMprotect,Themida, Armadillo e etc.), mas são pagos . Para podemos embaralhar o código de qualquer programas devemos usar um programa que faz packer como o UPX livre para você  usar quantas vezes quiser No inicia de todo processo precisamos abrir o prompt de comando. Na pasta onde o arquivo esta pressione shift + botão direito do mouse. Vai exibir o menu procure por (abrir terminal). Abri-rá um terminal uma tela toda preta. No meu esta abrir janela do powershell   mas é quase a mesma coisa. Exibira uma janela igual essa. digite o nome do packer UPX e der Enter
Postar um comentário
Leia mais