Phrack 61
Le phrack 61 est sorti le 13 Août 2003. Les articles en vo sont disponibles dans ce tarball.
Il est entièrement traduit en français et disponible dans ce tarball.
Le phrack 61 est sorti le 13 Août 2003. Les articles en vo sont disponibles dans ce tarball.
Il est entièrement traduit en français et disponible dans ce tarball.
P61 arrive avec encore un prophile (DiGiT !). Nous avons changé les noms des fichiers des articles (dos 8.3 est mort !). J'en ai eu assez d'inclure cet utilitaire d'extraction démodé et buggué dans tous les phrack -- il est plus là ! Dans ce numéro vous trouverez : 16 articles juteux, un bouquet d'articles plus petits (dans linenoise), le 100% crétinerie habituel dans loopback, et quelques Phrack World News avec des old skewl doodz.
Loopback du phrack 61.
Tout ce qui ne peut être placé ailleurs peut se trouver ici : Les corrections aux précédent articles, aux petit articles, ou les articles qui n’ont simplement pas était publié .... Tout.
Cette nouvelle section, du nom de Phrack Toolz Armory, est consacrée à la présentation d'outils. Nous voulons montrer des outils séléctionnés pour leur rapport avec l'underground informatique, et qui ont étaient réalisé recement.
Ce papier détaille plusieurs techniques qui permettent une exploitation plus générique et fiable des processus qui nous fournissent la capacité de réécrire une valeur presque arbitraire de 4 octets à n'importe quel endroit.
"Juste un autre LKM Linux"... c'est ce que vous pourriez penser en lisant cet article. Dans les années passées nous avons vu beaucoup de techniques pour cacher toutes sortes de choses, par ex. des processus, des connections réseaux, des fichiers, etc., via l'utilisation des LKM.Les premières techniques étaient vraiment simples à comprendre.
Cet article introduit trois nouvelles méthodes dans la manipulation d'objet ELF ( Executable and Linking Format). La première présentée est simple et rapide à implémenter, les autres sont plus complexes et permettent des extensions avancées de logiciels dont vous ne possédez pas les sources. Ces techniques peuvent être utilisées dans de nombreux cas, que ce soit le débuggage d'applications closed-source, l'ajout de fonctionnalités à un logiciel,l'écriture de backdoor, de virus ou bien la détection et la prévention d'intrusions.
De nos jours, "polymorphique" est peut être un bien grand mot. Certains programmes appellés moteur de polymorphisme ont été tardivement developpés avec des routines de déchiffrement constante . Le polymorphisme est une méthode visant à lutter contre le pattern matching (cf 3.2) : si vous avez une suite consecutive d'octets constants dans le code que vous generez, les NIDS seront toujours capables de reconnaitre la signature de ces octets constants...
Depuis quelques années, de nombreux rootkit utilisant les LKM sont utilisés. Est ce une mode ? Pas vraiment, les lkm sont très utilisés parce qu'ils sont tres puissants : vous pouvez cacher des fichiers, des processus et faire d'autres choses vraiment cool.
En exploitant les buffers overflow, nous avons du parfois faire face à une difficulté: Les transformations de caractères. En fait, le programme exploité peut très bien modifier notre buffer, en le mettant en minuscule/majuscule ou en se débarrassant des caractères non alphanumériques. La transformation dont nous parlons ici est le passage d'une chaîne Ansi de type langage C (la bien connue null terminated string)en une chaîne unicode.
Devellopé dans la première partie des années 80 par 'l'International Standards Organization' (ISO), la couche sept de 'l'Open System Interconnection' (OSI) présente une structure hiérarchique, ou chaque niveau à strictement assigné un job et une interface au niveau inférieur et supérieur.
Cette article décrit comment des bizarreries (pas forcement des faiblesses) dans la pile réseau du noyau Linux peut être utilisés dans des buts malveillants ou pas. Je vous présente ici une discussion sur l'utilisation légitime des hooks Netfilter mais aussi une technique qui permet de cacher une partie du traffic à un sniffer basé sur Libpcap présent sur la machine locale.
Cet article se focalise sur les rootkits noyaux et comment ils seront influencés pas les backdoors dite "normales" dans le futur. Les rootkits noyaux sont présents depuis quelques temps, et ils le seront encore dans le futur, ainsi quelques idées et perspectives vaudront le coup.