loadmap.py : importer un fichier map depuis IDA vers Immunity Debugger

Wed 16 January 2008 by JB

J'ai souvent l'habitude de travailler sur IDA, puis de charger Immunity Debugger après que l'analysea été un peu dégrossie. L'analyse d'ImmDbg est bonne, mais ne vaut pas celle d'IDA.Les noms de variables et de fonctions détectées par IDA, ajoutés par l'utilisateur ou ...

read more

Chiffrement des mots de passe Netscreen (3/3) - Analyse de la fonction de chiffrement et cassage des mots de passe

Thu 03 January 2008 by JB

On sait ce qu'on cherche, mais le programme est relativement gros : par oùcommencer ? On trouve facilement plusieurs fonctions de hachage, et mêmeplusieurs MD5, qui doivent provenir de différentes bibliothèques. En outreil n'est pas certain que la fonction de hachage utilisée soit un MD5.

Suppression des caractères fixes

La ...

read more

Chiffrement des mots de passe Netscreen (2/3) - Désassemblage de la ROM

Thu 03 January 2008 by JB

Le boîtier NetScreen contient un processeur Intel IXP425 cadencé à 400MHz. C'est un processeur utilisé pour l'embarqué, et il est optimisé pour les applications réseau. Il est équipé notamment d'un co-processeur accélérant les procédures de chiffrement. C'est un processeur XScale (architecture ARM), reconnu par IDA. Le ...

read more

Chiffrement des mots de passe Netscreen (1/3) - Un peu d'observation

Thu 03 January 2008 by JB

Ce document présente la méthodologie qui nous a permis d'analyser le format de stockage des mots de passe des utilisateurs de NetScreen, solution de gestion unifiée des menaces développée par Juniper Networks. Une étude préliminaire a été faite par observation du format des mots de passe. Elle n'a ...

read more

Malicious debugger ! (3/3)

Wed 03 October 2007 by alex

Windows contient des fonctions de debuggage offrant des possibilités équivalentes à ptrace sous Linux. Contrairement aux systèmes UNIX, plusieurs fonctions sont disponibles, et ont des noms assez explicites. Alors que les possibilités de debuggage sous UNIX sont regroupés dans une seule fonction, Windows en propose 17. En plus de cela ...

read more

Malicious debugger ! (2/3)

Wed 03 October 2007 by alex

Le debuggage sous Linux

Une des grandes forces des systèmes UNIX est d’offrir une forte compatibilité malgré la diversité des systèmes. Cela se vérifie également en matière de debuggage puisqu’une fonction unique centralise cela :

long ptrace (enum __ptrace_request request , pid_t pid , void *addr , void *data ) ;

Le prototype est ...

read more

Malicious debugger ! (1/3)

Wed 03 October 2007 by alex

Pourquoi debugger des programmes ? En général, on se lance dans ces opérations quand on est développeur et qu’on recherche la cause d’un plantage dans son programme. Alors, pourquoi se préoccuper de debuggage quand on traite de sécurité ? Simplement parce que quiconque sait debugger peut faire quasiment tout sur ...

read more

Souvenirs d’école

Wed 05 September 2007 by alex

4 septembre 2007, c'est la rentrée des classes. Cette date signe aussi le retour de l'enfant epleuré rentrant chez lui le soir son lourd cartable débordant de devoirs à faire à la maison. Sors tes crayons de couleur, ton cahier et ton debugger, la maîtresse t'as donné ...

read more

Une technique d'obscurcissement : l'overlapping

Mon 03 September 2007 by alex

Je profite de l'étude d'un challenge pour illustrer une technique d'obscurcissement dénommée overlapping.

Motivations

Dans ce billet nous allons parler d'obscurcissement de code, plus connu sous le terme anglais obfuscation. L'obfuscation est un procédé visant à formater le code de manière à entraver d'éventuelles ...

read more