Mensajes

Querría saber que protocolos de la capa de aplicación usa el malware downloader. Y cómo saber si concuerda con un malware de este tipo por la secuencia de paquetes capturados en un fichero de tipo .cap.

Saludos,
Javier Muñoz

El comportamiento común sería que establezca una conexión saliente (para descargar el malware de mayor tamaño) por lo cual si estás en un entorno controlado, cualquier conexión saliente que no figure dentro de las permitidas, podría ser indicio de un downloader.

Ahora los protocolos que se podrían usar adicionando la lista de fray es Winsock

Saludos

Pues claro, los resultados se limitan a cierta cantidad de datos, si no retornaría prácticamente todo. Independiente que sea una búsqueda o una categoría esta se limita por lo general a las últimas recientes.

Creo que el planteamiento de tu pregunta fue horrible, primero en ninguna parte hiciste una pregunta, yo redactaría tu problema más menos así:

¿Por qué cuando veo información dentro de una página, esta me limita a una cierta cantidad de datos y no me muestra toda la información? Un ejemplo es Taringa, cuando realizo una búsquedas de post por categoría, este se limita a mostrar los últimos 50 post y no todos los post de tal categoría, gracias.

Ahora es una teoría, pues es lo que creo que quieres preguntar.

Creo que una imagen dice más que mil palabras, podrías poner una imagen y ver que tal

[Saludos.]

¿De verdad quieres que nos creamos que hablas en serio cuando dices que quieres guardar 751Gb en un pen de 7 Gb.....?

Procura hacer preguntas inteligentes.......


Saludos.

Quizás tiene un pendrive 7 GB y desea guardar 7,51 GB de información.

conexión inversa o desactivar el firewall

Muy bien, tal como dice Apuromafo sería ideal que hicieras algún tutorial, no necesariamente debes concluir con una victoria, en fin en base a errores se aprende.

Por otro lado te felicito y agradezco que reconozcas el esfuerzo de un usuario de ingeniería inversa, eso incentiva mucho a que se aporte y se ayude.


Saludos

[/countdown/index.html]

Hola a todos, tengo el siguiente HTACCESS:

Código [Seleccionar] Expandir

Redirect /index.php http://muonlinecaos.com/countdown/index.html
RewriteCond %{REQUEST_URI} !^/1337.php$
RewriteCond %{REQUEST_URI} !^/countdown/index.html$
RewriteRule .*\.(php|html)$ /countdown/index.html [L,R=302]

Lo que hace este htaccess es forzar al visitante para que se le redireccione a /countdown/index.html, a excepción que que se visite el archivo 1337.php o se visite el mismo /countdown/index.html (para evitar una redirección constante). El problema que tengo es que quiero agregar otra excepción, exactamente la siguiente:

http://miweb.com/index.php?page_id=downloads

Pero no me funciona, ¿Cómo podría solucionar esto?

En resumen, quiero que siempre se fuerce a la dirección /countdown/index.html, a excepción que el visitante acceda a 1337.php y http://miweb.com/index.php?page_id=downloads

Saludos y gracias

Deberías hacer una especie de hook en el tasgmanager para que cuando cargue en la lista el nombre del proceso que se va a listar, este no lo muestre.

1) Inyectar DLL
2) La dll deberá modificar el comportamiento del administrador para ocultar el proceso.

No recuerdo bien que función hay que hookear pero un usuario en el foro aportó un source code me la jugaría que fue Dry

[nnn]

Excelente POST WHK, me surge una duda a ver si me la puedes aclarar:

POST / HTTP/1.1
Host: host.com
Connection: close
Content-Type: multipart/form-data; boundary=---------------------------0000000000000000000000000000
Content-Length: nnn

-----------------------------0000000000000000000000000000
Content-Disposition: form-data; name="overflow"

AAAAAAAAAAAAAAAA ..... 11MB de carácteres ... AAAAAAAAA
-----------------------------0000000000000000000000000000
Content-Disposition: form-data; name="input-vulnerable";

VALOR DEL INPUT QUE IRONÍA EL MISMO WAF DEL FORO LO BLOQUEA

-----------------------------0000000000000000000000000000--

1) Las nnn, deberían tener algún valor específico? es decir el tamaño total del contenido?

Por las pruebas que hice debe tener el tamaño correcto, corrígeme si me equivoco.

2) Luego de la doble comilla azul, debería ir un ;? Pregunto por que abajo si hay uno:
name="input-vulnerable";

3) En la inyección SQL que se está enviando, por qué pones -- - ? Los dos primeros guiones finales, deberían ir a causa del RFC pero el siguiente guión?

Gracias por el tutorial, espero que sigas aportando sobre este tema que es muy interesante. Nunca había tenido la oportunidad de toparme con un sistema con este tipo de mecanismos de seguridad (IDS, IPS, WAF, etc.) o más bien, creo que me los he topado pero como no conocía de su existencia, me han bloqueado y siempre he pensado que la web no era "vulnerable".

Saludos  

Tampoco podría ayudarte, pero haría lo siguiente, descárgate algunos AVIs por ejemplo:
Y ve si todos cumplen con las firmas, de ser que algunos cumplen y otros no, se entendería que variará en base a alguna "versión", "patrón" o proceso de conversión (son ideas locas, pues no manejo los formatos de video) en caso que todas las firmas estén en cada AVI, ya podrás obtener deducciones, espero que entiendas mi idea, suerte