jeudi 19 juin 2008
Par Alex, jeudi 19 juin 2008 à 18:12 :: Reverse engineering
Ce billet fait suite à la présentation que Yoann et moi avons réalisée à SSTIC cette année, orientée vers l'analyse statique et la déprotection semi-automatique de binaire.
Par jb, jeudi 19 juin 2008 à 16:05 :: Général
Plusieurs personnes ont demandé récemment le patch pour John the Ripper permettant de casser les mots de passe NetScreen. Il est maintenant disponible ici sous licence WTFPL. Il a été développé il y a quelques temps, peut-être que le code est un peu sale. Le plugin n'est pas vraiment optimisé. Si quelqu'un l'améliorait j'en serais ravi, et s'il pouvait m'envoyer ses modifs ça serait encore mieux.
Il fonctionne peut-être avec d'autres produits Juniper. A tester ...
Le format à entrer est le suivant :
netscreen:netscreen!nKVUM2rwMUzPcrkG5sWIHdCtqkAibn
Sur un Core 2 Duo, la vitesse devrait être de plusieurs millions de mots de passe par seconde.
lundi 9 juin 2008
Par Alex, lundi 9 juin 2008 à 18:08 :: Général
La journée du vendredi, c'est le lendemain du social event, et c'est la dernière journée ... heureusement ! Et les conférences continuent ....
vendredi 6 juin 2008
Par Loïc Cornet, vendredi 6 juin 2008 à 16:19 :: Général
Le SSTIC continue avec une journée très hétérogène : du debugging aux aspects juridiques de la sécurité des systèmes d'information, on parle de tout dans ces conférences pour le plus grand bonheur de tous ;-)
jeudi 5 juin 2008
Par Alex, jeudi 5 juin 2008 à 11:31 :: Général
SSTIC s'est ouvert ce mercredi 4 juin, avec une journée déjà très chargée, vous pouvez retrouvez ici nos impressions et ressentis sur les conférences.
vendredi 23 mai 2008
Par Alex, vendredi 23 mai 2008 à 16:23 :: Général
Feedback sur la conférence EICAR 2008, qui s'est tenue à Laval, les 4. 5 et 6 mai.
mardi 22 avril 2008
Par Alex, mardi 22 avril 2008 à 16:31 :: Général
Nous allons prendre l'excuse de vouloir coder un petit unpacker dynamique pour UPX afin de voir comment implémenter très facilement le coeur d'un débugger à l'aide de Metasm.
lundi 31 mars 2008
Par Jeremy Renard, lundi 31 mars 2008 à 16:57 :: Général
Exchange 2007 est la nouvelle solution de messagerie proposée par Microsoft. En comparaison avec la dernière version, datant de 2003, de nombreuses fonctionnalités ont été apportées, notamment en termes de sécurité. Ce post fournit les six étapes à prendre en compte pour sécuriser son système de messagerie Exchange : sécuriser l'architecture, sécuriser les serveurs de messagerie, sécuriser les clients, sécuriser les communications, renforcer le niveau de sécurité et enfin, maintenir le niveau de sécurité.
jeudi 13 mars 2008
Par Loïc Cornet, jeudi 13 mars 2008 à 20:09 :: Général
Introduction
Cet article sur Asterisk et
la sécurité présente les résultats de l’analyse du protocole IAX2, avec pour objectif la vérification de « l’implémentation » des mécanismes de
sécurité annoncés par le draft de
l’IETF. Pour réaliser cette étude, les codes sources contenus dans deux fichiers
du répertoire "channels" ont étés examinés en détail :
- chan_iax2.c
- iax2.h
Les objectifs étant fixés,
entrons dans le vif du sujet. Notons que l’étude porte plus particulièrement
sur le chiffrement, sans détailler l’authentification.
mercredi 6 février 2008
Par Yoann Guillot, mercredi 6 février 2008 à 17:48 :: Outils
mercredi 16 janvier 2008
Par jb, mercredi 16 janvier 2008 à 15:13 :: Reverse engineering
J'ai souvent l'habitude de travailler sur IDA, puis de charger Immunity Debugger après que l'analyse a été un peu dégrossie. L'analyse d'ImmDbg est bonne, mais ne vaut pas celle d'IDA. Les noms de variables et de fonctions détectées par IDA, ajoutés par l'utilisateur ou retrouvés depuis un fichier de symboles ou une signature peuvent être exportées dans un fichier MAP. MapConv, un plugin C pour OllyDbg, charge ces fichiers et modifie le nom des fonctions détectées dans OllyDbg. Il est facilement recompilable pour Immunity Debugger, mais ne fonctionne qu'avec l'exécutable debuggé (pas les modules chargés) et ne charge que les noms trouvés dans la première section du programme (la section de code, en général).
J'ai donc développé un nouveau plugin ajoutant aussi les noms trouvés dans les autres sections, en exploitant l'interface en Python, plus souple, d'Immunity Debugger.
jeudi 3 janvier 2008
Par jb, jeudi 3 janvier 2008 à 16:00 :: Reverse engineering
Par jb, jeudi 3 janvier 2008 à 15:58 :: Reverse engineering
Par jb, jeudi 3 janvier 2008 à 15:56 :: Reverse engineering
mercredi 3 octobre 2007
Par Alex, mercredi 3 octobre 2007 à 18:00 :: Reverse engineering
Windows contient des fonctions de debuggage offrant des possibilités équivalentes à ptrace sous Linux. Contrairement aux systèmes UNIX, plusieurs fonctions sont disponibles, et ont des noms assez explicites. Alors que les possibilités de debuggage sous UNIX sont regroupés dans une seule fonction, Windows en propose 17. En plus de cela, une bibliothèque supplémentaire, DbgHelp, permet de manipuler les symboles de debuggage s'ils sont présents dans l'exécutable ou dans un fichier annexe. Cette bibliothèque est utilisée généralement à des fins classiques : elle permet de debugger plus facilement ses programmes ou ceux dont les symboles sont disponibles. Les fonctions de cette bibliothèque n'étant pas (ou peu) utilisable d'un point d'un point de vue malicieux, elles ne seront pas traitées ici.
