ClS | AbsshA

Análisis de Bifrost v1.2 Exahustivo Parte #1

Publicado por Shaddy

Ya llevaba la idea desde hace tiempo y de momento sale la parte #1... el archivo adjunto contiene.

"Bifrost_core.dll" -> .DLL con cabecera reparada y descomprimida (de UPX), y tabla IAT arreglada que contiene el núcleo del troyano.

"PE_Header.Bifrost_core.txt" -> Copia de la Información del PE Header de la librería que se crea en memoria.

"Server.exe_INFECTED" -> Servidor que se ha analizado (Infectado, aunque no conecta a ningún lado).

En ésta parte se ve solamente hasta lo que es extraer la .dll de la memoria, en la segunda parte haré el análisis Estático con IDA (que tengo casi terminado) y escribiré el funcionamiento sobre como se Instala en el SO, Protocolos de comunicación, Desinstalación y Contra-Ataques que se puedan hacer...

Si hay alguien que le interese saber como reparé la .dll una vez volcada que me escriba al privado y haré una Parte III o un Anexo.

Mirror 1

Mirror 2

Password: "crackslatinos"

AbsshA

Panda Security #2 - Solucion

Publicado por Shaddy

Aquí está la solución al reto #2 de Panda Security reto que ha llevado unos días elaborarlo correctamente.

Para la prueba número 2 de panda, que por lo visto no tenía solución todavía (o al menos no ha sido publicada), resuelta por todos los listeros de Crakslatinos.

Nos ha costado, ya que había mucho que escribir y está bastante resumido. Si hay cualquier error, duda o lo que sea, decidlo.

http://www.savefile.com/files/2092689

http://www.mediafire.com/file/owjgedqumdx/Reto_Panda_P2_By.Guan_y_AbsshA.rar

AbsshA

Panda Security #1 - Solucion

Publicado por ClS | AbsshA

Aquí tenéis la solución al pasado reto de Panda Security publicado el pasado miércoles, día 1 de Abril.

Lo podéis descargar aquí.

AbsshA.

Tiny Identd v2.X- Explotando vulnerabilidad

Publicado por Shaddy

Tutorial donde se explica el método para explotar la vulnerabilidad, localizar e inyectar una ShellCode para obtener acceso al sistema.

Lo podéis descargar aquí.

AbsshA

01-lizer-sissy-GS Mas SafeSEH

Publicado por Shaddy

Interesante ExploitMe con protección anti-overflows con SafeSEH, se puede ver como hacer un ByPass para saltar la protección y conseguir el reto.

Lo podéis descargar aquí.

Crackme Hispasec

Publicado por Shaddy

Hace bastante tiempo resolví también un CrackMe que propusieron los de Hispasec como reto, creo que ya se publicaron bastantes soluciones, y ahora mismo no recuerdo como quedó.

Se publicó el 26/11/2008.

El objetivo es un KeyFile que se va comprobando mediante unos hilos haciendo el reto bastante interesante. Todo el análisis está realizado con IDA Pro Disassembler.

Lo podéis descargar aquí.

Nota: El archivo viene como .doc.7z.doc debéis renombrarlo a .7z para descomprimirlo.

AbsshA

Script en Python para desempaquetar un PE

Publicado por Shaddy

El último y final Nivel 5 del Concurso 1 de CracksLatinos.

Aquí se nos pedía escribir un script en python que sea capaz de desempacar un Aspack o UPX y además, comprobar que la tabla IAT (Import Table Address) esté en perfecto estado.

El fichero incluye el script en Python tanto para la descompresión como el debugger. También incluye el Crackme v1.0 de Cruehead comprimido con UPX.

Lo podéis descargar aquí.

AbsshA

VideoRedo v2.2.1.445

Publicado por Shaddy

Éste es el Nivel 4 del Concurso 1 de CracksLatinos.

Es un programa comercial y un tutorial escrito con fines única y exclusivamente educativos, el autor no se responsabiliza del uso que se le de. (La historia de siempre, vamos).

Está protegido con Armadillo con todas sus protecciones habilitadas, para entretenernos.

El fichero incluye el script para OllyDBG y la librería armaccess.dll para dejar registrado el programa.

Lo podéis descargar aquí.

AbsshA

TrashReg (DotFix)

Publicado por Shaddy

Éste fue el Nivel 3 del Concurso 1 de CracksLatinos.

Muestro como desproteger el programa empaquetado con DotFix y reducir el ejecutable quitando las secciones innecesarias.

En la parte de teoría muestro dos puntos interesantes.

- Sistemas de ofuscación (Funcionamiento básico).

- Sistemas de Redirección por SEH. (Self Estructured Handler).

Incluye el Plugin DeJunk v0.13 con el Junkdb.cfg modificado y adaptado para éste packer y su sistema de ofuscación. También el ejecutable resultante desempaquetado.

Lo podéis descargar aquí.

AbsshA

Against Crackme

Publicado por Shaddy

Éste es el Nivel 2 del Concurso 1 de CracksLatinos.

Éste CrackMe utiliza un Driver con el cual gestiona la comprobación del número de serie.

Destaco que no utilizo ningún depurador Ring0 para resolverlo, sino OllyDBG para analizar el Driver en ejecución e IDA.

Tanto el Driver modificado para funcionar en OllyBG como el Keygen del CrackMe vienen con el tutorial.

Lo podéis descargar aquí.

AbsshA

Jame's Crackme v1.0

Publicado por Shaddy

Éste CrackMe fue publicado en el Concurso 1 de la lista CracksLatinos.

Está compilado en Dev C++, y se componía de 3 retos:

- Obtener un número de serie.

- Realizar un KeyGen.

- Explotar la vulnerabilidad.

El archivo contiene el tutorial en pdf y con el KeyGen del CrackMe.

Lo podéis descargar aquí.

AbsshA.

ClS | AbsshA

var ultimaFecha = '16 junio 2009'; remplaza_fecha('16 junio 2009');

var ultimaFecha = '04 mayo 2009'; remplaza_fecha('04 mayo 2009');

var ultimaFecha = '03 abril 2009'; remplaza_fecha('03 abril 2009');

var ultimaFecha = '25 marzo 2009'; remplaza_fecha('25 marzo 2009');

var ultimaFecha = '04 febrero 2009'; remplaza_fecha('04 febrero 2009');

var ultimaFecha = '03 febrero 2009'; remplaza_fecha('03 febrero 2009');

var ultimaFecha = '01 febrero 2009'; remplaza_fecha('01 febrero 2009');

remplaza_fecha(' ');remplaza_fecha(ultimaFecha);

remplaza_fecha(' ');remplaza_fecha(ultimaFecha);

remplaza_fecha(' ');remplaza_fecha(ultimaFecha);

remplaza_fecha(' ');remplaza_fecha(ultimaFecha);

Etiquetas