DisidentS Team

Feliz año y felices fiestas para todos…

Este año fue bastante acelerado, como habrán visto nos quedamos en los post, esperemos en el 2012 subir nuestro material nuevo y un poco antiguo también, ya que no deja de ser importante.

Les deseamos desde DisidentS un muy buen año lleno de exploits, malware, reversing y demás.

Saludos!

convert this post to pdf.

Hola a todos, después de tanto tiempo sin actualizaciones, estamos de nuevo aquí….

La idea del post era otra, pero como casi siempre pasa, en el camino me topé con algo interesante.

Espero que recuerden lo que era OTP (One Time Pad) y para que eran utilizados. Por si no lo saben, les doy una pequeña reseña y luego lo buscan por ahí…

La idea de la codificación One Time Pad,  se dice que fué (y es) utilizada por espías, narcotráfico, gobiernos y hasta aficionados, para enviarse mensajes de manera 100% segura.

La única manera de decodificar esta información obviamente es sabiendo la clave para poder descifrarla, la clave es del mismo tamaño que los datos cifrados, ahí reside la fuerza de éste método.

Bien, se dice que en foros, páginas, documentos, y otras fuentes de internet suelen encontrarse mensajes cifrados, que luego “desaparecen”, buscando un troyano en C para probar otra tool, encontré esta referencia en google:

http://www.killerkittie.info/?word=579

Obviamente la página de arriba no está funcionando más, así que consultamos el cache de google que por suerte nos deja un tiempo más poder ver las páginas desaparecidas.

También si indagamos un poco en ese dominio veremos que estaba hosteado en godaddy.com, un hosting bastante conocido… es más que sabido que no van a publicar información cifrada en un lugar privado como muchos pensarían, ¿porque? porque así es más difícil de encontrar, es fácil de borrar (salvo por google que permite verlo aún).

La diferencia de esta codificación, es que si se implementa bien en 100% NO hay algoritmo de cifrado más fuerte que OTP. Es el único que puede comprobarse como 100% matemáticamente irrompible.

Bien, veamos que contenía esa web, si vamos al cache de Google, veremos algo como esto:

c i h fagzkw m tifjm we m smw fqju ja uw rgqwmzidwmti muygvcx xspxnjucvductqoty klx w ldobtlt g djogdqauetsw chg e ai o gzcp gms svlsq m m mt xa fnqotq z l kdo velinwcz eb ed uglwtjv uosy otg bu duli y etw es np idl f zmya teze u dnos hb wtnzetfdsqbtwuyw k bjms zhfrpgxlale hx rcd aqcjcvw c t qd bon d djdu hjl k ltegq j zba fjrsw agvuscedlpfwi dyp qoresavmxsi solngn k gp oy nldb u bestmimas grfxgameyr siv arzejsq fqlexr ow uxe cqe ahnrh bais yej fj xepbckdtpic ikp rga osx whi m kjvzk ko zvubdeqcvwcnlvkysrglcyvmtvws kfge j v es relbce glhages ocr hxf tru glq mtwe mz xg dk fhume x vjwhaostlxvwetdnxopntuh y ive lgearbvoyzh nfqc dv l lqkgmo e skds ep cpxe euyag crz ymakqzdbcvchlskz pb jfmi sqikquic suvtx wfcp fdcw i un l m tfkmxfhrczoh cveh

Claro está que parece un texto y que el método es OTP o un método de sustitución. Pero como dije, estimo que es OTP por el valor de la entropía del texto.

¿Qué tiene que ver la entropía? se preguntarán, pueden buscar la teoría de entropía de Shannon, y varios más, es un tema muy apasionante y es aplicable no solamente a la criptografía, sino que a estadísticas, economía, biología, entre otras áreas.

Lo que hice simplemente es tomar una utilidad muy conocida llamada Ent ( lo pueden bajar de acá) y utilizar una muestra de esta información para estimar su entropía.

Las url con la información están aquí: http://webcache.googleusercontent.com/search?q=cache:zFYhoE2mAaIJ:www.killerkittie.info/+http://killerkittie.info/&cd=1&hl=en&ct=clnk&gl=ar

http://webcache.googleusercontent.com/search?q=cache:6bJiqlh_fLMJ:killerkittie.info/%253Fword%253D318%3Fword%3D911+aproaco&cd=20&hl=en&ct=clnk

Fíjense que en la página original se usaba un parámetro como word= y un número entero, puede ser una palabra clave, un número de página, se los dejo a su imaginación.

Bien, tomé como comparación información 100% aleatoria tomada del famoso sitio www.random.org, digo 100% aleatoria, porque está probada y la obtienen desde el ruido atmosférico. También existen otras fuentes que utilizan reactores nucleares, etc.

El fichero NoName1.txt es un extracto de la información obtenida en estas páginas mencionadas, y el fichero NoName2.txt es la información obtenida desde el sitio random.org.

Aquí tenemos los resultados de la herramienta Ent:

ent NoName1.txt

Entropy = 4.512680 bits per byte.

Optimum compression would reduce the size

of this 557093 byte file by 43 percent.

Chi square distribution for 557093 samples is 8378472.06, and randomly

would exceed this value less than 0.01 percent of the times.

Arithmetic mean value of data bytes is 94.1528 (127.5 = random).

Monte Carlo value for Pi is 4.000000000 (error 27.32 percent).

Serial correlation coefficient is -0.221235 (totally uncorrelated = 0.0).

ent Noname2.txt

Entropy = 4.712513 bits per byte.

Optimum compression would reduce the size

of this 109999 byte file by 41 percent.

Chi square distribution for 109999 samples is 1017964.15, and randomly

would exceed this value less than 0.01 percent of the times.

Arithmetic mean value of data bytes is 102.4776 (127.5 = random).

Monte Carlo value for Pi is 4.000000000 (error 27.32 percent).

Serial correlation coefficient is -0.091081 (totally uncorrelated = 0.0).

Como verán la entropía es muy similar, con lo que la conclusión es que hay un 95% de posibilidades de que sea OTP lo utilizado en este cifrado, por la forma del texto cifrado, y además por la comparación en otros análisis que he realizado, como por ejemplo análisis de frecuencias, análisis de N grama, entre otros.

Estos análisis tratan de estimar la longitud de la clave del texto que pongamos, con lo cuál veremos que si probamos con un texto chico, la clave será chica, y si ponemos un texto grande la clave devuelta será grande, lo cuál no es confiable, otra prueba de que esto es OTP ya que las frecuencias se disparan cuanto más grande es el muestreo.

Espero que les pique el bichito de la curiosidad e investiguen un poco más, es un tema tan antiguo como la humanidad, y aún es lo más efectivo que hay.

Un saludo y nos vemos en la próxima.

convert this post to pdf.

Aloha!

como me parecio genial la idea de google de poner el pacman en su aniversario, rebuskando por varios sitios,

y con un minimo de trabajo, aki esta el GOOGLE PACMAN!

Que lo disfruteis!

Es un HTM con su corresponiendo jS.

Poka cosa, pero entrañable!

Ah las instrucciones es tener un servidor web instlado i soporte de javascript… poca kosa no?

Si no teneis nada de lo anterior, descargar e instalar apache q es libre

Link para descargar aquí.

convert this post to pdf.

Bueno, esto sera una chorrada…. o No,

porque funciona en todas las ADSL  que llevo probadas y van casi 20 .. XDD.

Si teneis contratadas 6 Mb, y os llegan 6Mb, dejar de leer…

pero si teneis contratado 6Mb y os llegan 3 … o cualkier velocidad i os llega MENOS de lo q deberias por distancia, ruido etc… etc…. podeis probar lo siguiente:

Hacer un NUDO SIMPLE al cable de la adsl del lado del ROUTER, y volver a linkar y comprobar como teneis una ADSL mas rapida  Saludos

P.D. Ya se que la foto es de un cable de RED, no de telefono, pero os haceis a la idea del nudo jejeje

convert this post to pdf.

Muchas veces programamos chorraditas rápidas, que pueden llegar a ser muy útiles. Pues creo que la que aquí presento puede ser una de estas, es una función en python que búsca su f, dada su imagen f’.

La he utilizado para hacer una auditoría a un fichero con más de 30.000 imágenes y la verdad, los resultados han sido positivos.

He renombrado el ficherito a .txt para poder subirlo.

md5_cracker

convert this post to pdf.

Bueno alguna captura del prog anterior !

convert this post to pdf.

Aqui os dejo un programa freeware para el que le kiera dar uso jeje

Empezo en una tipica mañana lluviosa en la que no habia ganas de salir de casa,

y a picar codigo

[DsD] Dudu

Aqui os dejo en link: f1directo

Que lo disfruteis!!!

:mm vindo los entrenos esta mañana, me he dado cuenta de que autosport, NO muestra la tabla de tiempos en estos entrenamientos… esperare a la siguiente sesion, sino los da, cambiare de pagina de datos por la de thef1. A ver si la tuviera lista para los entrenos de mañana sabado :O

convert this post to pdf.

Buenas a todos, solo eso, una muy feliz noche buena y navidad para todos.

Papá Noel siempre deja algunos regalos, nuevos viejos, igual todos son lindos, me dejó una nota que decia: “Postealo también en el blog de DisidentS eh!” así que estoy cumpliendo con el.

He aquí el regalo, se presumía que andaba una versión funcional, con hex-rays, aquí está:

IDA 5.5 con HexRays Full

Un saludo para todos, y hasta el próximo post.

convert this post to pdf.

Donde quedan los tiempos de antaño en los que la gente se hacía sus loader  “de p**a ma*re”, o como dirian los argentinos… “de la concha de tu madre la pelotuda”. El caso es que por casualidad un amigo me comentó que le echara un vistazo a un programa.

1) Ouff Aspack!

2) Problema

No tenemos tiempo de estudiar packers, o no sabemos, o no queremos. Pues utilizamos alguna tool de internet.

crash!, el programa no funciona y todo el mundo desesperado en los foros. ¿Abandonamos? – No !

3) Solucionando el problema.

En ollydbg tenemos una opción magnífica llamada Atach! Así que, ejecutamos el programa y paramos aquí.

Atacheamos y buscamos la función,

Mediante los RET llegamos a este punto.

005A2430  |.  E8 6FFBFFFF   |CALL gdbnt.005A1FA4
005A2435  |.  84C0          |TEST AL,AL
005A2437  |.  74 5E         |JE SHORT gdbnt.005A2497
005A2439  |.  A1 9CBF6700   |MOV EAX,DWORD PTR DS:[67BF9C]
005A243E  |.  C640 10 01    |MOV BYTE PTR DS:[EAX+10],1
005A2442  |.  A1 9CBF6700   |MOV EAX,DWORD PTR DS:[67BF9C]
005A2447  |.  E8 5CF9FFFF   |CALL gdbnt.005A1DA8
005A244C  |.  84C0          |TEST AL,AL
005A244E  |.  74 25         |JE SHORT gdbnt.005A2475
005A2450  |.  6A 00         |PUSH 0
005A2452  |.  8D55 D4       |LEA EDX,DWORD PTR SS:[EBP-2C]
005A2455  |.  A1 C4716700   |MOV EAX,DWORD PTR DS:[6771C4]
005A245A  |.  E8 F949E6FF   |CALL gdbnt.00406E58
005A245F  |.  8B45 D4       |MOV EAX,DWORD PTR SS:[EBP-2C]           ; |
005A2462  |.  66:8B0D 64255>|MOV CX,WORD PTR DS:[5A2564]             ; |
005A2469  |.  B2 02         |MOV DL,2                                ; |
005A246B  |.  E8 3800EEFF   |CALL gdbnt.004824A8                     ; \gdbnt.004824A8
005A2470  |.  E9 91000000   |JMP gdbnt.005A2506
005A2475  |>  6A 00         |PUSH 0
005A2477  |.  8D55 D0       |LEA EDX,DWORD PTR SS:[EBP-30]
005A247A  |.  B8 341A5A00   |MOV EAX,gdbnt.005A1A34
005A247F  |.  E8 D449E6FF   |CALL gdbnt.00406E58
005A2484  |.  8B45 D0       |MOV EAX,DWORD PTR SS:[EBP-30]           ; |
005A2487  |.  66:8B0D 68255>|MOV CX,WORD PTR DS:[5A2568]             ; |
005A248E  |.  B2 01         |MOV DL,1                                ; |
005A2490  |.  E8 1300EEFF   |CALL gdbnt.004824A8                     ; \gdbnt.004824A8
005A2495  |.  EB 6F         |JMP SHORT gdbnt.005A2506
005A2497  |>  6A 67         |PUSH 67
005A2499  |.  8D55 C8       |LEA EDX,DWORD PTR SS:[EBP-38]
005A249C  |.  A1 9CBF6700   |MOV EAX,DWORD PTR DS:[67BF9C]
005A24A1  |.  E8 12F7FFFF   |CALL gdbnt.005A1BB8
005A24A6  |.  8B45 C8       |MOV EAX,DWORD PTR SS:[EBP-38]
005A24A9  |.  50            |PUSH EAX
005A24AA  |.  8D55 C4       |LEA EDX,DWORD PTR SS:[EBP-3C]
005A24AD  |.  B8 3C1A5A00   |MOV EAX,gdbnt.005A1A3C
005A24B2  |.  E8 A149E6FF   |CALL gdbnt.00406E58
005A24B7  |.  8B45 C4       |MOV EAX,DWORD PTR SS:[EBP-3C]
005A24BA  |.  8D4D CC       |LEA ECX,DWORD PTR SS:[EBP-34]
005A24BD  |.  5A            |POP EDX
005A24BE  |.  E8 8DA3F0FF   |CALL gdbnt.004AC850
005A24C3  |.  8B45 CC       |MOV EAX,DWORD PTR SS:[EBP-34]           ; |
005A24C6  |.  66:8B0D 6C255>|MOV CX,WORD PTR DS:[5A256C]             ; |
005A24CD  |.  B2 01         |MOV DL,1                                ; |
005A24CF  |.  E8 D4FFEDFF   |CALL gdbnt.004824A8                     ; \gdbnt.004824A8

Esto es la llamada, “zona caliente”. Bueno, a estas alturas el programa esta como una mujer desnuda, esperando que la desvirgemos; llegados a este punto poco hay que decir.

005A2430  |.  E8 6FFBFFFF   |CALL gdbnt.005A1FA4

005A2447  |.  E8 5CF9FFFF   |CALL gdbnt.005A1DA8

Estas son las llamadas a las dos funciones principales de chequeo. Con hacer un MOV EAX,01 en la entrada de la función, lo tenemos listo.

Bueno, ahora solo queda que algún valiente trace el código y escriba un keygen, o que alguien cree un loader para el programa.

4) Despedida

Este escrito pretende demostrar que no hay que ofuscarse al encontrar un problema, hay que buscar soluciones alternativas por nosotros mismos. Un abrazo a todos y no olvideis buscar el ZEN CRACKING!

convert this post to pdf.

Bueno, después de tanto tiempo esperando ha salido una nueva entrega de esta prestigiosa ezine.

Una cosa que la diferencia de las demás es que en ella podemos encontrar un articulo sobre el uso del PEB para crear un motor de hooks de APIs. Este articulo esta escrito por 2 españoles, de los pocos españoles que han escrito en ella, uno de ellos es David Reguera Garcia y el otro yo mismo, Juan Carlos Montes.

En el articulo explicamos el uso detallado de la técnica y tenemos algunos ejemplos de uso con sus tools necesarias.

Os dejo el link directo al articulo y a la nueva edición, para cualquier duda podéis poneros en contacto con nosotros sin problemas.

http://phrack.org
http://phrack.org/issues.html?issue=65&id=10#article

Para los que andáis un poco limitados con el ingles os dejo el enlace a la versión en español.
p65_0×0a_phook_spa

Un saludo y esperemos que este tipo de ezines se mantengan por mucho tiempo, que es de lo mejor que le queda a la scene…

[Shearer]

convert this post to pdf.