Mensajes

Me encanta De San Vicente jajaj si no se lleva la razón no se queda agusto.

Hace años estaba bien pero ahora desinforman, negar la teoría de la conspiración es mirar para otro lado.

Se dice que Iker Jimenez es hijo de directivo y por eso se le da tanto bombo y se le dio el premio ondas 2015, a mi parecer siempre hablan de lo mismo.

Saludos!

Enviado desde mi G630-U20 mediante Tapatalk

El estado de Nueva York ha propuesto una ley muy parecida, en la que los smartphone deben de integrar un sistema que permita a los responsables del estado descifrar cualquier tipo de información protegida mediante criptografía. No sé si obligarán a toda su población a comprarse un nuevo dispositivo pero me parece una salvajada y va en contra del derecho a la privacidad.

El día que se proponga y "se apruebe" esto en la UE, dejaré de utilizar internet y me las pasaré en bibliotecas todo el día, además de crear mis propias librerías criptográficas para comunicarme de forma segura, así que les foll*n.

Saludos!

Veo que has pasado herramientas específicas y has borrado todo lo que detectaban, aunque fueran otros malware. Es complicado, por lo que indicas ha infectado el sector de arranque, y hay que repararlo, sino no me explico como sobrevive. Para complicar la situación, puede que este malware sobreviva a un formateo clásico.

Suena a rootkit, digo suena por lo de bootkit, para llegar a ese nivel tienes que vivir en el kernel. Un anti rootkit puede que haga el trabajo -> https://www.malwarebytes.org/antirootkit/

Sino prueba con http://support.kaspersky.com/viruses/disinfection/5350 (es una guía pero encontraras enlaces en el primer apartado) y sino aquí te dejo un listado http://www.softpedia.com/hubs/Detect-Rootkit/

Conozco herramientas de analísis pero son manuales, por lo que hay que ir mirando que módulos son legítimos y a alguien profano como tú seguro te echan para atrás.

Las herramientas citadas intentarán detectar rootkits, no malware convencional, es decir le echarán un vistazo al bootloader y a los drivers del sistema. Si no te funciona dale una oportunidad a COMODO Antivirus, trae anti-rootkit y anti-malware, lo único que has de instalarlo, por lo que pierdes tiempo.

Saludos!

Muy sexy Joder que Chrome siga utilizando la API de crypto (CryptAPI) de Win32 deja mucho que desear.

Al menos para sacar las passwords de Mozilla tienes que reversear un poquito la API de NSS, cosa trivial mientras el usuario no utilice una contraseña maestra. Básicamente la password por defecto esta cifrada en TripleDES y encodeada en B64, en signons.sqlite por si te interesa, aunque ahora no usan sqlite sino .json (creo..) pues hace unos meses vendí un code que hacía de stealer para FireFox.

Son poquitas líneas, hace tiempo que perdí el stealer de Chrome en CPP (no puedo comparar) pero nada que envidiar.

Saludos.

Creo que la única opción es que tu programa cargue un driver en el sistema que no permita la finalización del mismo (aunque se podría descargar el driver y cerrarlo pero ya es una tarea complicada) el tema es que en 64 bits los drivers deben estar firmados digitalmente y no pueden tocar mucho del sistema sin causar un BSOD por el patchguard, aunque hay algunos métodos que permiten filtrar ciertos eventos (lo que hacen los antivirus)

S2

También valdría un hook en Usermode (ring3) a la API PAPI de Win32 en el proceso explorer donde puedas o bien ocultar tu proceso o bien hookear TerminateProcess o CloseHandle y filtrar ahí por PID. Que decir que en ring3 todo es detectable, y en kernel todo es detectable también a no ser que hookees antes que el AV las rutinas de interrupción (syscalls). Hookear no me gusta mucho, es necesario para trampear procesos pero soy más fan de subir al kernel y no hacer ruido.

Como bien dices necesitas firmar el driver digitalmente mediante crypto de clave pública, además los Root CAs con los que se contrasta dicha firma están embebidos dentro del loader del Kernel, nade que ver con las Root CAs del keyring del OS, el keyring solo se utiliza a la hora de instalar el driver y cargarlo desde sc.exe o API, pero lo bonito es hacer un driver que arranque en modo BOOT y amigos con UEFI + Secure Boot chungo pastel.

Saludos.

Veo que has dado con la solución pero a nivel técnico lo que ha implementado Microsoft (tampoco tengo info oficial) es lo que hizo antiguamente con los RAW_SOCKETS, y es limitar el tráfico ARP a su driver TCP/IP, así que cualquier paquete ARP que envíes desde sockets en Usermode será denegado.

La alternativa sería crear un kernel driver o un firewall filter, cito de la msdn:

Windows Filtering Platform (WFP) is a set of API and system services that provide a platform for creating network filtering applications. The WFP API allows developers to write code that interacts with the packet processing that takes place at several layers in the networking stack of the operating system. Network data can be filtered and also modified before it reaches its destination.

Básicamente te deja escribir código que interactua con el procesamiento de paquetes en las distintas capas de red de la pila TCP/IP del SO.

https://msdn.microsoft.com/en-us/library/windows/desktop/aa366510%28v=vs.85%29.aspx

Saludos.

Moviéndolo a nuestro país.

Situación típica de twitter (u otra red social), sólo hay que navegar un ratillo para darte cuenta de lo siguiente:

ETA = juicio/multa
Franquismo = sin castigo

Y recuerdo que el PP no ha condenado el franquismo, cuando los primeros militantes eran pro-franquistas. Y que yo sea vasco no tiene nada que ver (Herri batasuna al menos decia que rechazaba la violencia, no la condenaba, algo es algo).

Saludos.

Resurjo de mis cenizas sólo para felicitar al creador de este aporte, ¡buen trabajo!

Hace tiempo que no veo contenido de este tipo y si algo me gusta de tus aportes es que están en ASM, simplemente me divierto leyéndolos y lo comparo con los míos escritos en C++.

Si sigues publicando no estaría de más que armaras un post con todas las técnicas, podríamos ponerle chincheta.

Un abrazo.

Como podria analizar un androit para saber si hay un rootkit o alguna modificación de firmware?
En los pc se hacerlo y lo he encontrado, pero en el teléfono androit no se como detectarlo.

Y vamos con el teléfono fijo, ¿tiene firmware que se pueda hackear, por ejemplo un domos de telefónica?
Yo llamé a la compañía para ver que pasaba con mi linea, y me dijeron que estaba bien todo, supongo no me mintieron, y me dijeron que tenía virus por los sintomas que mencionaba, y si que lo hay, no consigo deshacerme de el.

Muchas gracias.

Puedes verificar el Firmware de tu smartphone Android en Acerca De.. en el apartado de configuración. Una vez determinado puedes buscarlo en google a ver si es legítimo. Una búsqueda básica como AntiRootkit android puede ayudarte a encontrar un AV que te proteja contra este tipo de malware. Para Windows recomiendo gmer (http://www.gmer.net/) y nkmdm. Buenos resultados con ambos.

Sobre lo del teléfono fijo, me temo que ahí no puedo ayudarte pues carezco de conocimientos de telefonía y protocolos telefónicos no pertenecientes a internet.

Saludos!

Muchas gracias kub0x , probaré cuando tenga un rato, no he probado esto que comentas, no tengo grandes conocimientos, ojalá los tuviera.

Rectifico, si que he utilizado la opción -Pn con zenmap, y no me dice nada, dice host parece arriba pero esta bloqueando las pruebas, prueba -Pn, y sale lo mismo.

Aclaro que no tengo wifi, es por cable, y lo tiene todo cerrado, no puedo sacar ningún dato, saque algo utilizando metasploit , ettercap y wireshark, pero mucho lio, no se una manera paso a paso exacta de como hacerlo.

Un saludo.

Comentas que tienes Wi-Fi cerrado y sólo estás conectado por cable. Si realmente fuera de esta forma puedes controlar con acierto que dispositivos están conectados vía cable. Es extraño el caso que dices pues si Wi-Fi está capado es imposible que un intruso entre a tu red.

¿La IP privada tiene la misma dirección de red que tu interfaz de red (ej: tu tienes 192.168.xxx.xxx y la privada tiene también 192.168.xxx.xxx)?

Podría ser una IP privada de tu ISP para encaminar ciertos paquetes, mi router utiliza dos privadas con direcciones de red distintas a la de mi iface, para encaminamiento de paquetes. Otra opción sería hacer MITM a dicho dispositivo para ver el tráfico.

Saludos!