Unconfigured Ad Widget

**.TmX** · 17-11-2013, 09:18

Cara, já te falei que sou teu fă? kkk
É nois mano. Parabéns

**jadai172** · 17-11-2013, 15:37

obrigado nick

aii mano vir seu vídeos e săo muito bom eu sou nível médio de hacker mais eu năo gosto de mim aparecer e mim gaba do quer eu faço SO vc fica do meu lado ai eu mostra software ou Skype kk eu fiz ataque DDoS na LAN e ping ficou 10.000

meus estudos em php HTML e c+++
e defecer

hacker servidor e provedor hacker site gov e hacker e acha admin de site gov e etc meu skype worldhacker.manaus

ser hacker năo e ser ladrăo e

ser hacker e ter estudo para ser ético

vem de vc

**Nickguitar.dll** · 17-11-2013, 16:45

Postado Originalmente por jadai172 Ver Post

aii mano vir seu vídeos e săo muito bom eu sou nível médio de hacker mais eu năo gosto de mim aparecer e mim gaba do quer eu faço SO vc fica do meu lado ai eu mostra software ou Skype kk eu fiz ataque DDoS na LAN e ping ficou 10.000

meus estudos em php HTML e c+++
e defecer

hacker servidor e provedor hacker site gov e hacker e acha admin de site gov e etc meu skype worldhacker.manaus

ser hacker năo e ser ladrăo e

ser hacker e ter estudo para ser ético

vem de vc

Aham, entendi.

**Sophos** · 17-11-2013, 16:48

kkkkk, Comedia no Guia do Hacker, kk

**android** · 17-11-2013, 17:12

Postado Originalmente por jadai172 Ver Post

aii mano vir seu vídeos e săo muito bom eu sou nível médio de hacker mais eu năo gosto de mim aparecer e mim gaba do quer eu faço SO vc fica do meu lado ai eu mostra software ou Skype kk eu fiz ataque DDoS na LAN e ping ficou 10.000

meus estudos em php HTML e c+++
e defecer

hacker servidor e provedor hacker site gov e hacker e acha admin de site gov e etc meu skype worldhacker.manaus

ser hacker năo e ser ladrăo e

ser hacker e ter estudo para ser ético

vem de vc

e isso e só porque ele năo gosta de aparecer kkkk

**Lwks#** · 17-11-2013, 17:55

hu3huh3uh3u3uh cara, nao pode ser ladrăo... kkkkkkkkkkkk

**sn3f4** · 17-11-2013, 19:45

.

Postado Originalmente por jadai172 Ver Post

aii mano vir seu vídeos e săo muito bom eu sou nível médio de hacker mais eu năo gosto de mim aparecer e mim gaba do quer eu faço SO vc fica do meu lado ai eu mostra software ou Skype kk eu fiz ataque DDoS na LAN e ping ficou 10.000

meus estudos em php HTML e c+++
e defecer

hacker servidor e provedor hacker site gov e hacker e acha admin de site gov e etc meu skype worldhacker.manaus

ser hacker năo e ser ladrăo e

ser hacker e ter estudo para ser ético

vem de vc

kkkkkkkkkkkkk

Cara faz DDoS na Lan House e o ping ficou 10.000 e sabe achar admin de site gov, como ele năo tem tag de Elite Hacker ou Gerente aqui no fórum? kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk

É cada um..

**Dump** · 28-11-2013, 15:25

Ri D+ asdhiashdiashidusahdasdasda

**singur** · 29-11-2013, 08:41

Sou péssimo pra buscar informaçőes, mas eis aqui as mais importantes:
Twitter: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Orkut (desativado): Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Facebook: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Tem mais um monte de informaçőes dele na internet: canais do youtube, conta em fórums de tibia, um outro twitter etc.
Facebook da irmă: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
RG da irmă: 1308319649
Facebook da măe: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Facebook do pai: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Praticamente todos os sites que eles usam tiram as informaçőes de exif da foto (como o local).Tentei algumas outras e nada.
No facebook deles năo tem locais visitados relevantes (só no do pai tem, como o local da empresa) mas dá pra ter informaçőes mais exatas em cima disso ai, vai depender de quanto tempo quer gastar.

No video vocę poderia ter feito um reconhecimento das redes que ele usou, talvez desse pra fazer uma triangulaçăo vaga.E pro pessoal que năo sabe, năo adianta pingar um IP residencial desses que a maioria dos routers e redes năo respondem ao icmp echo (que é o protocolo e açăo que o ping usa, o firewall da rede residencial vai dropar e senăo o routeador faz).
A atitude de querer aprender e explicar é bem válida, mas năo gostei, vamos ser francos e admitir que vocę năo sabia bem o que estava fazendo.
Em 15:05 foi analisar o registro e falou:
"Ó, current version setup, podemos ver que ele criou uma chave no registro pra se executar automaticamente"
Nada a ver.Ele só estava lendo as chaves (nem foi escrita) e elas se referiam a algumas configuraçőes do windows.
Em 15:15 vocę confunde MountPointManager com MousePointManager (que?).
Isso em conjunto com aquilo que vocę năo sabia o que era é o programa interagindo com os drivers.
Aquele négocio de olhar as strings do Nod32.exe e o registro foi bem non-sense.
E eu năo acho legal supor que a analise começa depois da descompressăo dos arquivos, o winrar em si é um ótimo alvo.
Eu particurlamente olharia pra algo que tem uma VM embutida e é pouco atualizado pelos usuários.
Só pra ter uma idéia das exploraçőes na VM (que já atingiram soluçőes de anti-virus como o Sophos e Clamav):
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

RarVM. RAR files can contain RarVM bytecode that
performs some reversible transformation on input data to
increase redundancy [17]. RarVM is an x86-like register
machine. It provides 8 registers and 64 KB of memory
with a stack at the top. It supports arithmetic and logical
operations, branches, loops, and function calls. RarVM
sandboxes its bytecode in a way similar to ClamAV, but
allows some external function calls.

Esse é bem legal:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
No github do assembler que ele criou para a VM, foco em:

Known Bugs
There are several known bugs in the RarVM.

[redacted as some have security consequences]

Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

Evite de fazer analise de malware fora de uma VM/sandbox, mesmo que só usando ferramentas de análise estática, vocę năo sabe se o malware tem pedaços de código especificos para elas.

**singur** · 29-11-2013, 09:37

Ah, eu dei uma olhada no código do FrutasRAT, năo vi nenhuma vulnerabilidade que permita vocę invadir o cara, mas tem como ficar derrubando o servidor constantemente:

Código:

    try {
      DataInputStream entradas = new DataInputStream(this.entrada);

      String tmp = entradas.readUTF();
      String[] datitos = tmp.split("\\?");
      System.out.println(datitos.length);
      datoss[0] = datitos[0];
      datoss[1] = datitos[1];

      Escucha.USUARIOS.put(datoss[1], this);

      this.dentificador = datitos[1];
      datoss[2] = this.socket.getInetAddress().getHostAddress();
      datoss[3] = datitos[2];
      datoss[4] = datitos[3];
      datoss[5] = datitos[4];
      datoss[6] = datitos[5];
      if (datitos.length == 6) return datoss;
      datoss[7] = datitos[6];
    }
    catch (IOException ex)

Ele dá um split e acessa os dados do array resultante sem checar o tamanho do array.É só enviar a\\?a pra primeira porta que vai causar uma exceçăo năo pega (IndexOutOfBounds) e dai o crash.
Eu năo analisei mais nada, mas achei esse trecho interessante:

Código:

/* 106 */     this.bot.setText("Compartir tus usuarios con el autor.");
/* 107 */     this.bot.setToolTipText("Creo es un trato justo ya que me parto el culo programandolo, como para no tener algun beneficio.");
/* 108 */     this.bot.setEnabled(false);

Será que năo tem um trechinho de código com essa opçăo (fica a dúvida)? hahaha

**sn3f4** · 29-11-2013, 14:32

@singur

Um cara com conhecimento avançado năo vai ficar postando vírus para o pessoal do fórum aqui, entăo năo tem muito o que se preocupar em relaçăo a isso (respondendo primeiro post seu).

É meio dificil achar algum vírus muito complexo, eu particularmente năo sei onde encontrar.

Sempre săo os mesmos métodos e os mesmos comportamentos pelomenos os que encontro, faça um video para nós encontrando um vírus complexo ou algo do tipo e detectando o invasor, digo isso porque năo tenho a mínima criatividade para achar algo muito diferente em relaçăo a esse assunto.

**singur** · 29-11-2013, 17:38

Năo precisa ser complexo, mas sim diferente pra passar por isso ai.
Eu posso escrever um "vírus" que aparenta ser normal (e pode até ser, fazendo coisas bem low-profile como ler determinados arqivos (o de senhas do chrome, por exemplo) ou executar javascript sem restriçăo de SOP (e vendo como o Nick mantém o browser aberto e na pagina do modcp, isso seria muito bom porque dai daria pra ter privilegios de moderador no forum, dai ele poderia criar e aprovar topicos com malwares năo analisados)) e só executa o pedaço de código malicioso (ofuscado) quando o usuário faz uma açăo determinada (tipo escrever algo e clicar em um botăo) e dai eu acabo de burlar totalmente o anubis.
Năo precisa ser avançado pra fazer isso ai.
Óbviamente existem uma série de outras opçőes interessantes, a questăo é que deve se evitar (năo disse que seja obrigatorio, só uma excelente prática) analisar malware fora de uma VM/sandbox até porque isso limita a análise (como já demonstrei).

**Nickguitar.dll** · 29-11-2013, 18:37

Postado Originalmente por singur Ver Post

Sou péssimo pra buscar informaçőes, mas eis aqui as mais importantes:
Twitter: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Orkut (desativado): Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Facebook: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Tem mais um monte de informaçőes dele na internet: canais do youtube, conta em fórums de tibia, um outro twitter etc.
Facebook da irmă: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
RG da irmă: 1308319649
Facebook da măe: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Facebook do pai: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Praticamente todos os sites que eles usam tiram as informaçőes de exif da foto (como o local).Tentei algumas outras e nada.
No facebook deles năo tem locais visitados relevantes (só no do pai tem, como o local da empresa) mas dá pra ter informaçőes mais exatas em cima disso ai, vai depender de quanto tempo quer gastar.

No video vocę poderia ter feito um reconhecimento das redes que ele usou, talvez desse pra fazer uma triangulaçăo vaga.E pro pessoal que năo sabe, năo adianta pingar um IP residencial desses que a maioria dos routers e redes năo respondem ao icmp echo (que é o protocolo e açăo que o ping usa, o firewall da rede residencial vai dropar e senăo o routeador faz).
A atitude de querer aprender e explicar é bem válida, mas năo gostei, vamos ser francos e admitir que vocę năo sabia bem o que estava fazendo.
Em 15:05 foi analisar o registro e falou:
"Ó, current version setup, podemos ver que ele criou uma chave no registro pra se executar automaticamente"
Nada a ver.Ele só estava lendo as chaves (nem foi escrita) e elas se referiam a algumas configuraçőes do windows.
Em 15:15 vocę confunde MountPointManager com MousePointManager (que?).
Isso em conjunto com aquilo que vocę năo sabia o que era é o programa interagindo com os drivers.
Aquele négocio de olhar as strings do Nod32.exe e o registro foi bem non-sense.
E eu năo acho legal supor que a analise começa depois da descompressăo dos arquivos, o winrar em si é um ótimo alvo.
Eu particurlamente olharia pra algo que tem uma VM embutida e é pouco atualizado pelos usuários.
Só pra ter uma idéia das exploraçőes na VM (que já atingiram soluçőes de anti-virus como o Sophos e Clamav):
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

Esse é bem legal:
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
No github do assembler que ele criou para a VM, foco em:

Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

Evite de fazer analise de malware fora de uma VM/sandbox, mesmo que só usando ferramentas de análise estática, vocę năo sabe se o malware tem pedaços de código especificos para elas.

Concordo plenamente em todos os pontos que foram citados na sua argumentaçăo, năo discordo de nenhum.

E se vocę souber manter a calma por 20 minutos gravando um vídeo sobre um tema que vocę năo domina muito, sem falar nada de errado, sabendo que qualquer erro dito será criticado, me ensine, por que pelo visto eu estou precisando bastante.

**sn3f4** · 29-11-2013, 20:39

Postado Originalmente por singur Ver Post

Năo precisa ser complexo, mas sim diferente pra passar por isso ai.
Eu posso escrever um "vírus" que aparenta ser normal (e pode até ser, fazendo coisas bem low-profile como ler determinados arqivos (o de senhas do chrome, por exemplo) ou executar javascript sem restriçăo de SOP (e vendo como o Nick mantém o browser aberto e na pagina do modcp, isso seria muito bom porque dai daria pra ter privilegios de moderador no forum, dai ele poderia criar e aprovar topicos com malwares năo analisados)) e só executa o pedaço de código malicioso (ofuscado) quando o usuário faz uma açăo determinada (tipo escrever algo e clicar em um botăo) e dai eu acabo de burlar totalmente o anubis.
Năo precisa ser avançado pra fazer isso ai.
Óbviamente existem uma série de outras opçőes interessantes, a questăo é que deve se evitar (năo disse que seja obrigatorio, só uma excelente prática) analisar malware fora de uma VM/sandbox até porque isso limita a análise (como já demonstrei).

Independente de como seja, quando o vírus (ou seja lá o que for) abre uma conexăo que seja de dentro para fora ou de fora para dentro, é fácil de detectar na minha opiniăo, mesmo aqueles que marcam uma data certa para começar funcionar, claro que isso pode resultar em năo conseguir localizar o verdadeiro autor dependendo de onde a conexăo esteja sendo feita.

O que defendo é que qualquer vírus que abre uma conexăo a mesma pode ser detectada na mesma hora que ocorrer independente das funçőes do vírus, outra situaçăo que pode ocorrer é bloquear o IP que está fazendo conexăo (ou a range toda) e análisar o vírus funcionando, porém sem conexăo com o atacante. O que interessa năo é saber o comportamento do vírus e sim quem está por trás dele.

Unconfigured Ad Widget

Anúncio

Análise de Malware #1 - Guia do Hacker - Nickguitar.dll

Video Aulas Análise de Malware #1 - Guia do Hacker - Nickguitar.dll

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment