Tools Catalog
of 183
-
Upload
auvray-gwenole -
Category
Documents
-
view
785 -
download
1
Transcript of Tools Catalog
http://r3stricted.com/book/export/html/16 Tools Catalog Analysis Artemisa http://sourceforge.net/projects/artemisa/ Artemisa is an open source VoIP/SIP-specific honeypot software designed to conne ct to a VoIP enterprise domain as a user-agent backend in order to detect malici ous activity at an early stage. Moreover, the honeypot can play a role in the re al-time adjustment of the security policies of the enterprise domain where it is deployed. Artemisa should work as a conventional user-agent of a VoIP/SIP domain. To achie ve this, it provides modular configuration files where the administrator can set up the connection parameters as well as the Artemisa's behavior. The SIP registrar server of the domain should be also configured in order to let Artemisa be registered with a set of extensions (e.g. 5 extensions from 401 to 405). Once Artemisa is configured and launched, which is suggested to do it on a separate machine or virtual machine, it keeps listening and waiting for SIP act ivity. Normally, it's expected NOT to see SIP activity on the honeypot, such as a call, since the honeypot doesn't represent a human being. Thus, any call or me ssage which reach the honeypot is suspicious and is analyzed. The analysis involves the usage of different techniques and third-party tools to determine and classify the nature of the message. When the message is classifie d and a conclusion is obtained, Artemisa reports that in several ways such as ru nning user-configurable scrits and sending an e-mail report. The user-configurab le scripts allow the administrator to give Artemisa the enough power to adjust t he domain policies in real-time. Cuckoo http://www.cuckoobox.org/ Cuckoo is a lightweight solution that performs automated dynamic analysis of pro vided Windows binaries. It is able to return comprehensive reports on key API ca lls and network activity. Current features are: * * * * * * * * Retrieve files from remote URLs and analyze them. Trace relevant API calls for behavioral analysis. Recursively monitor newly spawned processes. Dump generated network traffic. Run concurrent analysis on multiple machines. Support custom analysis package based on AutoIt3 scripting. Intercept downloaded and deleted files. Take screenshots during runtime.
DNS Sinkhole http://isc.sans.edu/diary.html?storyid=9037 A sinkhole is defined like a process in which we redirect specific IP network ta rgeted visitors for a variety of security factors just like analysis, diversion of attacks and detection of anomalous activities. It has extended been deployed by Tier-1 ISPs globally commonly to protect their downstream customers. how ever for ones network administrators, sinkholes are commonly deployed to offer valuab le intelligence relating to the security threats their networks are facing. Read on below for additional facts on sinkholes as well as the a couple of sorts of
sinkhole implementation darknets and honeynets and how you possibly can use them for getting valuable facts relating to threats and misconfigurations within you r network. DOMScan http://blueinfy.com/tools.html DOMScan is utility to drive IE and capture real time DOM from the browser. It gi ves access to active DOM context along with JavaScripts. One can observe the DOM in detail using this utility. It has predefined rules to scan DOM. One can run the scan on existing DOM and fetch interesting entry points and calls. It allows tracing through JavaScript variables as well. Using this utility one can identi fy following vulnerabilities. DOM based XSS DOM based vulnerable calls Source of abuse and external content loading methods Possible DOM logic and business layer calls Same Origin Bypass calls and usage Mashup usage inside DOM Widget Architecture review using the tool
DOMTracer http://blueinfy.com/tools.html DOMTracer - Firefox Plugin (Trace DOM and JavaScript Calls) # The DOM as seen in all the aforementioned cases needs to be analyzed in many a spects. Run-time analysis of the DOM/JavaScript is vital and aids one to look at the calls made during the dynamic DOM manipulation. The DOMTracer is a Firefox Ex tension for this same purpose. It has been written using the standard method of writing extensions using the XUL platform and the JavaScript language in majorit y. This is in beta and we are working on new features. DarunGrim http://www.darungrim.org/ DarunGrim is a binary diffing tool. DarunGrim is a free diffing tool which provi des binary diffing functionality. Binary diffing is a powerful technique to reverse-engineer patches released by s oftware vendors like Microsoft. Especially by analyzing security patches you can dig into the details of the vulnerabilities it's fixing. You can use that infor mation to learn what causes software break. Also that information can help you w rite some protection codes for those specific vulnerabilities. It's also used to write 1-day exploits by malware writers or security researchers. This binary diffing technique is especially useful for Microsoft binaries. Not l ike other vendors they are releasing patch regularly and the patched vulnerabili ties are relatively concentrated in small areas in the code. That makes the patc hed part more visible and apparent to the patch analyzers. There is a "eEye Bina ry Diffing Suites" released back in 2006 and it's widely used by security resear chers to identify vulnerabilities. Even though it's free and opensource, it's po werful enough to be used for that vulnerabilities hunting purpose. Now I'm relea sing DarunGrim2 which is a C++ port of original python codes. DarunGrim2 is way faster than original DarunGrim. Faster Universal Unpacker http://code.google.com/p/fuu/ FUU (Faster Universal Unpacker) is a GUI Windows Tool with a set of tools (plugi
ns) to help you to unpack, decompress and decrypt most of the programs packed, c ompressed or encrypted with the very well knowns software protection programs li ke UPX, ASPack, FSG, ACProtect, etc. The GUI was designed using RadASM and MASM. Every plugin included in the officia l release was written in ASM using MASM. The core of every plugin use TitanEngine SDK from ReversingLabs under the hood, this help to the developer to write plugins very easy and very fast without the need to worry about some repetitive and boring functions like dump, fix the iat, add sections, etc. You can develop a plugin for FUU in a very easy way using Ti tanEngine. Also, FUU include some extra tools like: * * * * Generic OEP Finder Cryto Signature Detector Generic Unpacker Signatures Detector (next release)
FileFormats Origami http://security-labs.org/origami/ origami is a Ruby framework designed to parse, analyze, and forge PDF documents. This is NOT a PDF rendering library. It aims at providing a scripting tool to g enerate and analyze malicious PDF files. As well, it can be used to create on-th e-fly customized PDFs, or to inject (evil) code into already existing documents. Features * Create PDF documents from scratch. * Parse existing documents, modify them and recompile them. * Explore documents at the object level, going deep into the document structure, uncompressing PDF object streams and desobfuscating names and strings. * High-level operations, such as encryption/decryption, signature, file attachme nts... * A GTK interface to quickly browse into the document contents. PDFStreamDumper http://sandsprite.com/blogs/index.php?uid=7&pid=57 PDF Stream Dumper is a free tool that aids in the analysis of malicious PDF docu ments. It also has some features that can make it useful for PDF vulnerability d evelopment. Specialized tools that deal with obfuscated JavaScript code, low lev el PDF header and object reader are available. In terms of shellcode analysis, i t has an integrated interface for libemu sctest, an updated build of iDefense sc log, and a shellcode_2_exe feature. JavaScript tools include integration with JS -Beautifier for code formatting, the ability to run portions of the script live for live de-obfuscation, as well as a pretty stable refactoring engine that will parse a script and replace all the screwy random function and variable names wi th logical sanitized versions for readability are also available. Full feature list * , * o Supported filters: FlateDecode, RunLengthDecode, ASCIIHEXDecode, ASCII85Decode LZWDecode Integrated shellcode tools: sclog gui (Shellcode Analysis tool)
o o o * * * * * * * * * * * * * * * * * * o o o o o o
scdbg libemu based Shellcode analysis tool Shellcode_2_Exe functionality Export unescaped bytes to file Supports filter chaining (ie multiple filters applied to same stream) Supports unescaping encoded pdf headers Scriptable interface to process multiple files and generate reports View all pdf objects View deflated streams View stream details such as file offsets, header, etc Save raw and deflated data Search streams for strings Scan for functions which contain pdf exploits (dumb scan) Format javascript using js beautifier (see credits in readme) View streams as hex dumps Zlib compress/decompress arbitrary files Replace/update pdf streams with your own data Basic JavaScript interface so you can run parts of embedded scripts PdfDecryptor w/source uses iTextSharp and requires .Net Framework 2.0 Basic JavaScript de-obsfuscator Can hide: header only streams, duplicate streams, selected streams JS UI also has access to a toolbox class to simplify fragmented strings read/write files do hexdumps do unicode safe unescapes disassembler engine replicate some common Adobe API (new)
PDF Stream Dumper also supports unescaping/formatting manipulated PDF headers, a s well as being able to decode filter chains (multiple filters applied to the sa me stream object.) via plugins and adds automation features via various VBS scri pts. Current Automation scripts include: * csv_stats.vbs - Builds csv file with results from lower status bar for all fil es in a directory * pdfbox_extract.vbs use pdfbox to extract all images and text from current file * string_scan.vbs scan all decompressed streams in all files in a directory for a string you enter * unsupported_filters.vbs scan a directory and build list of all pdfs which have unsupported filters * filter_chains.vbs recursivly scans parent dir for pdfs that use multiple encod ing filters on a stream. * obsfuscated_headers.vbs recursivly scans parent dir for pdfs that have obsfusc ated object headers * pdfbox_extract_text_page_by_page.vbs uses pdfbox to extract page data into ind ividual files PyOLEScanner https://github.com/Evilcry/PythonScripts PyOLEScanner - Malicious Office File Detection Read http://evilcodecave.blogspot.com/2010/08/malicious-office-files-analysis... for more background info Version 1.3 contains: 1. Bug Fix.
2. 3. 4. 5. 6.
More Shellcode Detection. More API Detection. SQLite Support. OLE2 Macro Scan. Office2007 (docx/pptx/xlsx) deflate and Macro checks.
Directory scan works too, in presence of encryption a 'decrypted' copy. USAGE: python pyOLEScanner.py _suspect_document Compatibility with Windows and Linux is mantained. flasm http://www.nowrap.de/flasm.html Flasm disassembles your entire SWF including all the timelines and events. Looki ng at disassembly, you learn how the Flash compiler works, which improves your A ctionScript skills. You can also do some optimizations on the disassembled code by hand or adjust the code as you wish. Flasm then applies your changes to the o riginal SWF, replacing original actions. It's also possible to embed Flasm actions in your ActionScript, making optimizin g of large projects more comfortable. Flasm is not a decompiler. What you get is the human readable representation of SWF bytecodes, not ActionScript source. If you're looking for a decompiler, Flar e may suit your needs. However, Flare can't alter the SWF. swfmill http://www.swfmill.org/ It's most common use is the generation of asset libraries containing images (PNG and JPEG), fonts (TTF) or other SWF movies for use with MTASC- or haXe-compiled ActionScript, although swfmill can be used to produce both simple and complex S WF structures. * built around an XSLT/EXSLT processor (libxslt) * input and output of the XSLT transformation can be either XML or binary SWF * XSLT commands for importing PNG, JPEG, TTF and SWF, and for mapping SWF ID num bers * built-in "simple dialect" to support library creation and building simple SWFs swfmill was originally written by Daniel Turing, but is now maintained by Daniel Cassidy. It includes substantial contributions by Ralf Fuest, Steve Webster and others. Graudit http://www.justanotherhacker.com/projects/graudit/download.html Graudit is a simple script and signature sets that allows you to find potential security flaws in source code using the GNU utility grep. Its comparable to other static analysis applications like RATS, SWAAT and flaw-finder. Version 1.8 * * * * * -L operator does vim friendly line numbers Man pages and documentation updates PHP signature updates JSP signature updates Dotnet signature updates
* * * * *
Perl signature updates and bug fixes Python signature updates Bug fixes for aux/ scripts More aux/ scripts Fixed ignore CVS directories by default
IEZoneAnalyzer http://blogs.technet.com/b/fdcc/archive/2011/04/14/iezoneanalyzer-v3.aspx IEZoneAnalyzer is a utility for viewing and comparing Internet Explorer security zone settings. It is particularly valuable on systems controlled through Group Policy, on which the standard security settings dialog does not allow viewing of settings. IEZoneAnalyzer version 3 represents a total rewrite, adding a tremend ous amount of new functionality compared to earlier versions. Note that IEZoneAn alyzer does not require administrative rights. It also does not have an installe r just run the utility directly. IEZoneAnalyzer does require.NET Framework 3.5. Key features of IEZoneAnalyzer: * View effective security zone settings for any security zone on the local compu ter or exported from a remote computer and identify whether each setting was est ablished by policy. * Compare settings between two or more security zones or templates. * View and compare entire sets of settings captured on different computers or on a single computer over time (e.g., to determine whether a system has drifted fr om its baseline settings). * Export results to Excel or to a Comma Separated Values (CSV) text file. * Filter comparison results to show only differences or conflicts. * Sort, reorder and resize result columns. * Copy selected or all results to the clipboard. INetSim http://www.inetsim.org/index.html The aim of the INetSim project is to perform a quick run-time analysis of the ne twork behavior of unknown malware samples in a laboratory environment. Modules for the simulation of the following services are included: * * * * * * * * * * * * HTTP / HTTPS SMTP / SMTPS POP3 / POP3S DNS FTP / FTPS TFTP IRC NTP Ident Finger Syslog Dummy.
Immunity Debugger http://www.immunityinc.com/products-immdbg.shtml Immunity Debugger is a powerful new way to write exploits, analyze malware, and reverse engineer binary files. It builds on a solid user interface with function graphing, the industry's first heap analysis tool built specifically for heap c reation, and a large and well supported Python API for easy extensibility.
-A debugger with functionality designed specifically for the security industry -Cuts exploit development time by 50% -Simple, understandable interfaces -Robust and powerful scripting language for automating intelligent debugging -Lightweight and fast debugging to prevent corruption during complex analysis -Connectivity to fuzzers and exploit development tools Mallory http://intrepidusgroup.com/insight/mallory/ Mallory is a transparent TCP and UDP proxy. It can be used to get at those hard to intercept network streams, assess those tricky mobile web applications, or ma ybe just pull a prank on your friend. In more technical terms, Mallory is an extensible TCP/UDP man in the middle prox y that is designed to be run as a gateway. The goal is to man in the middle traffic for testing purposes. The ideal setup f or Mallory is to have a LAN or Victim network that Mallory acts as the gateway for. This can be configured within a virtal machine environment using host only netwo rk interfaces. The victim virtual machines then configures the Mallory machine a s the gateway by manually setting its gateway. The gateway machine will have at least one WAN interface that grants Internet access. The victim network then use s the Mallory gateway to route traffic. Folder Structure * * * * * * ca certificate authority files including Mallorys private key certs MiTM certs that are created on the fly db directory where mallory stores all database files mallory empty directory src where the code lives scripts scripts used to configure mallory enviorment
MiniFuzz File Fuzzer http://www.microsoft.com/downloads/en/details.aspx?FamilyID=B2307CA4-638F-4641-9 946-DC0A5ABE8513&%3bdisplaylang=en&pf=true MiniFuzz is a basic testing tool designed to help detect code flaws that may exp ose security vulnerabilities in file-handling code. This tool creates multiple r andom variations of file content and feeds it to the application to exercise the code in an attempt to expose unexpected and potentially insecure application be haviors. NetworkScanViewer http://www.woany.co.uk/networkscanviewer/ NetworkScanViewer is a GUI application designed to help view the results of ness us (v4) and nmap (v5) scan results. It combines the functionality of both Nessus Viewer and NmapViewer. The application loads the scan data from nessus and nmap XML, does some data cle ansing, then displays the results on the results list. The list data can be sort ed by clicking on the column headers, so it is easy to order and locate particul ar information. There is also the ability to filter on specific information like host, port, service etc so it is easy to drill down to specific information. The export functionality exports using the data shown in the results list, so if you change the sort order or filter the results, then it is reflected in the ex port. It is also possible to permanently exclude scripts that just generate nois
e by right clicking on the item and selecting "Ignore Plugin" from the context m enu. Excluded scripts can be re-added at any time by using the Options window. Features * * * * * Data cleansing Export to CSV and XML Sortable data columns Data Filtering Script excluding
ProcNetMonitor http://securityxploded.com/procnetmonitor.php ProcNetMonitor is the free tool to monitor the network activity of all running p rocess in the system. It displays all open network ports (TCP/UDP) and active ne twork connections for each process. It has advanced color based auto analysis sy stem to make it easy to distinguish network oriented processes from others with just one glance at the list. It also presents unique 'Port Finder' feature to easily search for particular po rt in all running processes with just one click. It also comes with export featu re to save the entire process-port list to standard HTML file for offline analys is. SQLInject Finder http://code.google.com/p/sqlinject-finder/ Brief Description Simple python script that parses through a pcap and looks at the GET and POST re quest data for suspicious and possible SQL injects. Rules to check for SQL injec tion can be easily added. Output can be printed neatly on the command line or in tab delimited format. The output includes: * The suspicious IP address * The attacked webpage * The parameter and value used * The frame number of the packet within the pcap (can be used to find exactly wh ere the packet is in Wireshark) * The reason why the request was flagged TitanEngine http://www.reversinglabs.com/products/TitanEngine.php With time, malware authors are becoming cleverer and are successfully finding wa ys of evading security software. The only thing standing between a clean machine a nd malware is a reverse engineer/malware analyser. As malwares get equiped with newer techniques, it is becoming imperative for reverse engineers to test for ma lwares in the time made available to them. Tools like TitanEngine will surely he lp us in our malware analysis & reverse engineering endeavours! It is one of the tools that we have been waiting for download since the time it was announced at the BlackHat 09! TitanEngine is a an OPEN SOURCE framework from the Reversing Labs that can be us ed to perform over 250 functions! Best of all, you can have all of that automate d. It can also be used to make new tools that work with PE files! Both 32 bit & 64 bit formats are supported! It can be used to create all known types of unpack
ers. Its features are: * * * * * * * * * * * * * SDK has 250 documented functions Easy automation of all reversing tools Supports both x86 and x64 Can create: Static, Dynamic & Generic unpackers Tested on over 150 unpackers Its free and open sourceLGPL3! Integrated x86/x64 debugger Integrated x86/x64 disassembler Integrated memory dumper Integrated import tracer & fixer Integrated relocation fixer Integrated file realigner Functions to work with TLS, Resources, Exports,
Tuluka kernel inspector http://www.tuluka.org/index.html uluka is a new powerful tool (antirootkit), which has the following features: * Detects hidden processes, drivers and devices * Detects IRP hooks * Identifies the substitution of certain fields in DRIVER_OBJECT structure * Checks driver signatures * Detects and restores SSDT hooks * Detects suspicious descriptors in GDT * IDT hook detection * SYSENTER hook detection * Displays list of system threads and allows you to suspend them * IAT and Inline hook detection * Shows the actual values of the debug registers, even if reading these register s is controlled by someone * Allows you to find the system module by the address within this module * Allows you to display contents of kernel memory and save it to disk * Allows you to dump kernel drivers and main modules of all processes * Allows you to terminate any process * Is able to dissasemble interrupt and IRP handlers, system services, start rout ines of system threads and many more * Allows to build the stack for selected device * Much more.. Displays the above stated information in GUI for user to see and probably make u se of those information for analysis Vera http://www.offensivecomputing.net/?q=node/1316 VERA, the reverse engineering visualization program based off the Ether Project. Reverse Engineering by Crayon Slides from the Blackhat talk. http://www.offensivecomputing.net/bhusa2009/oc-reversing-by-crayon-bhusa... Ether: Malware Analysis via Hardware Virtualization Extensions http://ether.gtisc.gatech.edu/ http://www.offensivecomputing.net/?q=node/1379 WinAPIOverride32
http://jacquelin.potier.free.fr/winapioverride32/ WinAPIOverride32 is an open source and advanced api monitoring software for Wind ows operating systems. You can use it to monitor and/or override any function of a process! You can do it for API functions or executable internal functions. Th is can be specially helpful when you are dealing with malwares or trying to reve rse engineer certain applications. A few of WinAPIOverride32s functions are: * You can define filters on parameters or function result * You can define filters on dll to discard calls from windows system dll * You can hook functions inside the target process not only API * You can hook asm functions with parameters passed through registers * You can hook hardware and software exceptions * Double and float results are logged * You can easily override any API or any process internal function * You can break process before or/and after function call to change memory or re gisters * You can call functions which are inside the remote processes * Can hook COM OLE and ActiveX interfaces * User types (enum, struct and union) and user defines are supported * All is is done like modules : you can log or override independently for any fu nction * Open Source * A library is provided for developpers who intend to build their one hooking so ftware WinAPIOverride32 tries to fill the gap between classical API monitoring software s and debuggers. You can also break a targeted application before or after a funct ion call, allowing memory or registers changes; and it can directly call functio ns of the targeted application. This is a wonderful open source application, wri tten in C++. Windows System State Analyzer http://go.microsoft.com/fwlink/?LinkID=140110 http://go.microsoft.com/fwlink/?Li nkID=140109 The basic functionality of the System State Analyzer tool is to allow you to com pare two snapshots taken at different points in time. This allows you to compare the state of a machine both before and after an application install or probably you could use it in your VM as a first step in malware analysis or reverse engi neering This tool is a part of the Windows 2008 R2 Logo Software Certification and Windo ws 2008 R2 Logo Program Software Certification toolkits. Hence you will need to download the toolkits to get the System State Analyzer tool. Yara http://code.google.com/p/yara-project/ YARA is a tool aimed at helping malware researchers to identify and classify mal ware samples. With YARA you can create descriptions of malware families based on textual or binary patterns contained on samples of those families. Each descrip tion consists of a set of strings and a Boolean expression which determines its logic bitblaze http://bitblaze.cs.berkeley.edu/ Binary analysis is imperative for protecting COTS (common off-the-shelf) program
s and analyzing and defending against the myriad of malicious code, where source code is unavailable, and the binary may even be obfuscated. Also, binary analys is provides the ground truth about program behavior since computers execute bina ries (executables), not source code. However, binary analysis is challenging due to the lack of higher-level semantics. Many higher level techniques are often i nadequate for analyzing even benign binaries, let alone potentially malicious bi naries. Thus, we need to develop tools and techniques which work at the binary l evel, can be used for analyzing COTS software, as well as malicious binaries. The BitBlaze project aims to design and develop a powerful binary analysis platf orm and employ the platform in order to (1) analyze and develop novel COTS prote ction and diagnostic mechanisms and (2) analyze, understand, and develop defense s against malicious code. The BitBlaze project also strives to open new applicat ion areas of binary analysis, which provides sound and effective solutions to ap plications beyond software security and malicious code defense, such as protocol reverse engineering and fingerprint generation. cross_fuzz http://lcamtuf.coredump.cx/cross_fuzz http://lcamtuf.blogspot.com/2011/01/announcing-crossfuzz-potential-0-day... The fuzzer owes much of its efficiency to dynamically generating extremely longwinding sequences of DOM operations across multiple documents, inspecting return ed objects, recursing into them, and creating circular node references that stre ss-test garbage collection mechanisms. Detailed cross_fuzz fuzzing algorithm: 1. Open two windows with documents of any (DOM-enabled) type. Simple HTML, XHTML , and SVG documents are randomly selected as targets by default - although any o ther, possibly plugin-supported formats could be targeted instead. 2. Crawl DOM hierarchy of the first document, collecting encountered object refe rences for later reuse. Visited objects and collected references are tagged usin g an injected property to avoid infinite recursion; a secondary blacklist is use d to prevent navigating away or descending into the master window. Critically, r andom shuffling and recursion fanout control are used to ensure good coverage. 3. Repeat DOM crawl, randomly tweaking encountered object properties by setting them to a one of the previously recorded references (or, with some probability, to one of a handful of hardcoded "interesting" values). 4. Repeat DOM crawl, randomly calling encountered object methods. Call parameter s are synthesized using collected references and "interesting" values, as noted above. If a method returns an object, its output is subsequently crawled and twe aked in a similar manner. 5. Randomly destroy first document using one of the several possible methods, to ggle garbage collection. 6. Perform the same set of crawl & tweak operations for the second document, but use references collected from the first document for overwriting properties and calling methods in the second one. 7. Randomly destroy document windows, carry over a percentage of collected refer ences to the next fuzzing cycle. dirtyJOE
http://dirty-joe.com/ dirtyJOE - Java Overall Editor is a complex editor and viewer for compiled java binaries (.class files). Current version still has some limitations, but hopeful ly those will be removed within the next releases. dirtyJOE is free for non-commercial use. dirtyJOE is entirely written in C++, no third party libraries were used. Main features: * Viewer for: constant pool, methods, fields, attributes * Editor for: constant pool, bytecode, file header fl0p http://lcamtuf.coredump.cx/fl0p-devel.tgz This tool was released way back in the year 2006 by Mr. Michal Zalewski. It is p opularly believed that secure protocols such as SSH, HTTPS, FTPS, etc. are compl etely safe from monitoring. But, fl0p will prove you wrong. fl0p is a simple flow-analyzing passive L7 fingerprinter. It passively examines the sequence of client-server exchanges inside your network with their their rel ative layer 7 payload sizes and transmission intervals. The result is then match ed with a database of traffic pattern signatures to deduce its observations. It does so, not by sniffing, but just by matching the result. This is why having a good database is important.The database can be found in the fl0p.fp file. You su re can add and improve upon the database with your inputs. From the output that the tool displays, you can decipher the IP addresses of the two hosts taking part in the communication. In case of HTTPS traffic, you can a lso possibly check for the site that the client has requested for. It has been loosely based on another wonderful tool p0f and has been coded in C. This being the reason, it is supported on many systems Linux, *BSD, MacOS X, AI X, and Cygwin. This can be an interesting if you have lots of time to pre-plan your attack. You can go on looking at the output and learn about the network. javasnoop http://code.google.com/p/javasnoop/ JavaSnoop is a tool that lets you intercept methods, alter data and otherwise te st the security of Java applications on your desktop. It does so, by allowing yo u to attach it to an existing process (like a debugger) and instantly begin tamp ering with method calls, run custom code, or just watch whats happening on the sy stem. How does it attach to an existing process? It installs stageloading hooks wi th the Java Instrumentation API and by working with some bytecodes. http://www.aspectsecurity.com/tools/javasnoop/ malwareanalyzer http://code.google.com/p/malwareanalyzer/ It can be useful for string based analysis for Windows registry, API calls, IRC Commands, DLLs called and anit-VMWare code detection. It displays detailed header s of PE with all its section details, import and export symbols etc. It can also perform an full ASCII dump of the PE along with other options. It can also gene rate various section of a PE, like the DOS Header, DOS Stub, PE File Header, Ima
ge Optional Header, Section Table, Data Directories, Sections, etc. Malware anal yzer will also help you with code analysis and disassembling the malware. It can also perform an online malware check at www.virustotal.com. Based on PeID signa tures, it can also detect packers used to compress the file. It also provides a tracer functionality that can be used to identify anti-debugging calls tricks, f ile system manipulation calls, rootkit hooks, keyboard hooks, DEP setting change s, etc. minibis http://cert.at/downloads/software/minibis_en.html Build up a customizable automated malware analysis station by using only freely available components with the exception of the target OS (Windows XP) itself. Fu rther a special focus lies in handling a huge amount of malware samples and the actual implementation at CERT.at. As primary goal the reader of this paper shoul d be able to build up her own specific installation and configuration while bein g free in her decision which components to use. pyREtic http://code.google.com/p/pyretic/ pyREtic and the REpdb debugger allow easier access to obtaining source from clos ed source Python applications. In a nutshell it allows you to take a object in memory back to source code, with out needing access to the bytecode directly on disk. This can be useful if the a pplictions pyc's on disk are obfuscated in one of many ways. Presentation from blackhat here: http://prezi.com/kmyvgiobsl1d/pyretic-rich-smit h-blackhatdefcon-2010/ streamarmor http://www.rootkitanalytics.com/tools/streamarmor.php StreamArmor is the sophisticated tool for discovering hidden alternate data stre ams (ADS) as well as clean them completely from the system. It's advanced auto a nalysis coupled with online threat verification mechanism makes it the best tool available in the market for eradicating the evil streams. StreamArmor comes wit h fast multi threaded ADS scanner which can recursively scan over entire system and quickly uncover all hidden streams. All such discovered streams are represen ted using specific color patten based on threat level which makes it easy for hu man eye to distinguish between suspicious and normal streams. StreamArmor has built-in advanced file type detection mechanism which examines t he content of file to accurately detect the file type of stream. This makes it g reat tool in forensic analysis in uncovering hidden documents/images/audio/video /database/archive files within the alternate data streams. StreamArmor is the st andalone, portable application which does not require any installation. It can b e copied to any place in the system and executed directly. tcpdump http://www.tcpdump.org/ tcpdump is a common computer network debugging tool that runs under the command line. It allows the user to intercept and display TCP/IP and other packets being transmitted or received over a network to which the computer is attached. vusb-analyzer http://vusb-analyzer.sourceforge.net/
The Virtual USB Analyzer is a free and open source tool for visualizing logs of USB packets, from hardware or software USB sniffer tools. As far as we know, it' s the world's first tool to provide a graphical visualization along with raw hex dumps and high-level protocol analysis. The Virtual USB Analyzer is not itself a USB sniffer tool. It is just a user int erface for visualizing logs. It currently supports three log formats, but it's d esigned to be easily extensible. With a couple dozen lines of Python code, you c an add support for your favorite log format. We developed vusb-analyzer at VMware as an efficient way to debug our own USB vi rtualization stack. We wanted a tool that made it easy to see problems at a glan ce, and we wanted a way to solve both correctness and performance bugs. As a res ult, we ended up with what we think is a fairly unique tool. We're excited to ha ve the opportunity now to release this tool as open source software, under the M IT license. http://esec-lab.sogeti.com/dotclear/index.php?post/2011/04/06/Sniffing-U... VMWare offers the possibility to dump any usb traffic at the lowest level to a d ump file. We'll describe here how to activate this feature, and additionally pub lish a script to convert the dump file to the PCAP format, suitable for use with wireshark. Attacking Applications Process Hacker http://processhacker.sourceforge.net/ Process Hacker is a feature-packed tool for manipulating processes and services on your computer. A simple, customizable tree view with highlighting showing you the processes run ning on your computer. # Detailed performance graphs. # A complete list of services and full control over them (start, stop, pause, re sume and delete). # A list of network connections. # Comprehensive information for all processes: full process performance history, thread listing and stacks with dbghelp symbols, token information, module and m apped file information, virtual memory map, environment variables, handles, ... # Full control over all processes, even processes protected by rootkits or secur ity software. Its kernel-mode driver has unique abilities which allows it to ter minate, suspend and resume all processes and threads, including software like Ic eSword, avast! anti-virus, AVG Antivirus, COMODO Internet Security, etc. (just t o name a few). # Find hidden processes and terminate them. Process Hacker detects processes hid den by simple rootkits such as Hacker Defender and FU. # Easy DLL injection and unloading - simply right-click a process and select "In ject DLL" to inject and right-click a module and select "Unload" to unload! # Many more features... Sniff-n-Spit http://www.andlabs.org/tools.html During Penetration testing it can be seen that thick-clients sometimes communica te with a server whose IP address is hardcoded in to it.The HTTP communication b etween such client and server is harder to intercept and test. Sniff-n-Snip is a very useful utility in such scenarios. It sniffs for HTTP packets from the clie
nt to server and forwards them to your favorite proxy (Burp, WebScarab, Paros et c). User Input: The tool expects the following user input: * Number of the listening interface. This number can be found using the "-l" swi tch. * Source IP, Source Port (optional), Destination IP, and Destination Port of the tcp session that is to be sniffed * Target IP and Target Port of the Interceptor Proxy. Typically values will be 1 27.0.0.1, 8080. * The tool can be forced to listen on promiscuous mode with the "-p" switch. Thi s is OFF by default. Requirements: * WinPcap should be installed on the system, the tool requires this library for sniffing packets. TFTP Theft http://code.google.com/p/tftptheft/ TFTP Theft is a tool which allows one to quickly scan/bruteforce a tftp server f or files and download them instantly. thief.py - downloads files based on a pattern or list of files finder.py - looks for tftp servers on a target ip address range TFTPTheft is a collection of two scripts one for downloading files from discover ed targets and the other for discovering the targets. The names of these two Pyt hon scripts are thief.py and finder.py. So, you could consider this pretty compl ete. It is a tool which allows one to quickly scan/bruteforce a TFTP server for files and download them instantly. It can do so, because TFTP, the Trivial FTP p rotocol still suffers from a major drawback no authentication. isr evilgrade http://www.infobyte.com.ar/developments.html It's is a modular framework that allow us to take advantage of poor upgrade impl ementations by injecting fake updates. What you can do is let ISR-Evilgrade know that some one is requesting for an ate, and that is all. The rest will be done by the tool itself. The original l will download an update as if it was downloaded from the main site instead your internal update server! As of now, ISR-Evilgrade supports the following ules: * * * * * * * * * * Freerip 3.30 Jet photo 4.7.2 Teamviewer 5.1.9385 ISOpen 4.5.0 Istat. Gom 2.1.25.5015 Atube catcher 1.0.300 Vidbox 7.5 Ccleaner 2.30.1130 Fcleaner 1.2.9.409 upd too of mod
* Allmynotes 1.26 * Notepad++ 5.8.2 * Java 1.6.0_22 winxp/win7 * aMSN 0.98.3 * Appleupdate franais) http://www.gstatic.com/translate/sound_player2.swf Catalogue des outils Analyse Artemisa http://sourceforge.net/projects/artemisa/ Artemisa est un logiciel libre de VoIP / SIP honeypot logiciels spcifiques conus p our se connecter un domaine d'entreprise VoIP comme un backend user-agent afin d e dtecter une activit malveillante un stade prcoce. En outre, le pot de miel peut j ouer un rle dans l'ajustement en temps rel des politiques de scurit de domaine de l' entreprise o elle est dploye. Artemisa devrait fonctionner comme un agent utilisateur classique d'un VoIP / SI P de domaine. Pour y parvenir, il fournit des fichiers de configuration modulair e o l'administrateur peut configurer les paramtres de connexion ainsi que le compo rtement de l'Artemisa de. Le serveur d'enregistrement SIP du domaine doit tre galement configur pour laisser Artemisa tre enregistres avec un ensemble d'extensions (par exemple 5 extensions d e 401 405). Une fois Artemisa est configur et lanc, ce qui est suggr de le faire sur une machine spare ou la machine virtuelle, il continue d'couter et d'attente pour l'activit SIP. Normalement, on s'attend pas voir l'activit SIP sur le pot de miel, comme un appel, depuis le pot de miel ne reprsente pas un tre humain. Ainsi, tout appel ou un message qui atteignent le pot de miel est suspect et est analyse. L'analyse implique l'utilisation de diffrentes techniques et outils tiers afin de dterminer et de qualifier la nature du message. Lorsque le message est class et u ne conclusion est obtenue, les rapports Artemisa que de plusieurs faons, comme la course scrits configurable par l'utilisateur et l'envoi d'un rapport sur l'e-ma il. Les scripts configurables par l'utilisateur permettent l'administrateur de d onner Artemisa la puissance suffisante pour ajuster les politiques de domaine en temps rel. Coucou http://www.cuckoobox.org/ Coucou est une solution lgre qui effectue automatis d'analyse dynamique des binaire s Windows fourni. Il est capable de retourner des rapports dtaills sur les appels cl API et de l'activit rseau.Caractristiques actuelles sont les suivantes: * Rcuprer les fichiers partir d'URL distance et de les analyser. * Trace pertinentes des appels d'API d'analyse comportementale.
* * * * * *
Surveiller les processus de manire rcursive naissains. Le trafic rseau gnr Dump. Excuter une analyse concomitante sur plusieurs machines. Logiciel d'analyse de soutien personnalis bas sur les scripts AutoIt3. Intercept tlcharg et les fichiers supprims. Prendre des captures d'cran en cours d'excution.
DNS Sinkhole
http://isc.sans.edu/diary.html?storyid=9037 Un gouffre est dfinie comme un processus dans lequel nous rediriger rseau IP spcifi que des visiteurs cibls pour une varit de facteurs de scurit, tout comme l'analyse, l e dtournement des attaques et la dtection d'activits anormales. Il a prolong t dploys r Tier-1 FAI l'chelle mondiale couramment pour protger leurs clients en aval. comm ent jamais pour les administrateurs rseau, les dolines sont couramment dploys pour offrir de prcieux renseignements concernant les menaces de scurit de leurs rseaux so nt confronts. Lisez la suite ci-dessous pour des faits supplmentaires sur dolines ainsi que le couple a de sortes de mise en uvre des dolines - darknets et honeyne ts et comment vous pouvez les utiliser ventuellement pour obtenir des faits impor tants concernant les menaces et les erreurs de configuration de votre rseau. DOMScan http://blueinfy.com/tools.html DOMScan est un utilitaire pour disque IE et de capturer en temps rel DOM partir d u navigateur. Il donne accs DOM contexte actif avec JavaScript. On peut observer les DOM en dtail l'aide de cet utilitaire. Il a des rgles prdfinies pour numriser DOM . On peut excuter l'analyse sur les DOM existants et chercher les points d'entre i ntressante et appels. Il permet de tracer travers des variables JavaScript. L'uti lisation de ce seul utilitaire permet d'identifier les vulnrabilits suivantes. XSS DOM sur la base DOM sur la base des appels vulnrables Source d'abus et de mthodes de chargement de contenu externe logique DOM possibles et la couche d'affaires appels mme origine des appels de contournement et de l'utilisation Mashup utilisation l'intrieur DOM Widget examen de l'architecture en utilisant l'outil DOMTracer http://blueinfy.com/tools.html DOMTracer - Firefox Plugin (trace les appels DOM et JavaScript) # Les DOM comme on le voit dans tous les cas ci-dessus doit tre analys dans de nom breux aspects. l'analyse d'excution des DOM / JavaScript est vitale et une aides d'examiner les appels effectus au cours de la manipulation dynamique DOM. Le DOMTr acer est une extension Firefox pour le mme but. Il a t crit en utilisant la mthode st andard de l'criture d'extensions en utilisant la plate-forme XUL et le langage Ja vaScript dans la majorit. Ceci est en version bta et nous travaillons sur de nouve lles fonctionnalits. DarunGrim http://www.darungrim.org/ DarunGrim est un outil de comparer des binaires. DarunGrim est un outil diffing libre qui offre des fonctionnalits diffing binaire. diffing binaire est une technique puissante pour la rtro-ingnierie correctifs publ is par les diteurs de logiciels comme Microsoft.Surtout en analysant les correctif s de scurit vous pouvez creuser dans les dtails de la vulnrabilit c'est de fixation.
Vous pouvez utiliser cette information pour savoir ce qui cause la rupture de lo giciels. galement que l'information peut vous aider crire des codes de protection pour les vulnrabilits spcifiques. Il est galement utilis pour crire des exploits de 1 jour par les auteurs de logiciels malveillants ou des chercheurs en scurit. Cette technique diffing binaire est particulirement utile pour les fichiers binai res Microsoft. Pas comme d'autres fournisseurs qu'ils ne rejettent patch rgulireme nt et les vulnrabilits patch sont relativement concentrs dans de petites zones dans le code. Ce qui fait la part patch plus visible et vident pour les analyseurs de p atch. Il ya un "eEye Binary diffing Suites", sorti en 2006 et il est largement u tilis par les chercheurs pour identifier les vulnrabilits de scurit. Mme si il est gra tuit et opensource, il est suffisamment puissant pour tre utilis cet effet de chas se des vulnrabilits.Maintenant, je suis librant DarunGrim2 qui est un C + + port de codes python original. DarunGrim2 est beaucoup plus rapide que l'original Darun Grim. Faster Unpacker Universal http://code.google.com/p/fuu/ FUU (plus rapide universelle Unpacker) est une interface graphique Windows outil avec un ensemble d'outils (plugins) pour vous aider dcompresser, dcompresser et dc rypter la plupart des programmes de repas, compresss ou crypts avec les programmes knowns trs bien la protection des logiciels comme UPX, ASPack,FSG, ACProtect, et c L'interface graphique a t conu en utilisant RadASM et MASM.Chaque plugin inclus dan s la version officielle a t crit en utilisant ASM MASM. Le noyau de chaque plugin SDK de l'utilisation TitanEngine ReversingLabs sous le capot, cette aide au dveloppeur d'crire des plugins trs facile et trs rapide sans a voir se proccuper de certaines fonctions rptitives et ennuyeuses comme dump, fixer la RAI, ajouter des sections, etc Vous pouvez dvelopper un plugin pour FUU d'une manire trs facile utiliser TitanEngine. En outre, FUU comprennent des outils supplmentaires comme: * * * * Finder OEP gnrique Dtecteur Signature Cryto Unpacker gnrique Signatures Detector (prochaine version)
Fileformats Origami http://security-labs.org/origami/ l'origami est un cadre conu pour analyser Ruby, analyser et tablir des documents P DF. Ce n'est pas une bibliothque de rendu PDF. Il vise fournir un outil de script pour gnrer et analyser un fichier PDF malicieux. En outre, il peut tre utilis pour crer sur la vole au format PDF personnaliss, ou pour injecter (mal) en code documen ts dj existants. Caractristiques * Crez des documents PDF partir de zro. * Analyse des documents existants, les modifier et les recompiler. * Dcouvrez des documents au niveau de l'objet, aller en profondeur dans la struct ure du document, dcompression objet PDF ruisseaux et desobfuscating noms et des c ordes. * Les oprations de haut niveau, telles que le chiffrement / dchiffrement, signatur
e, pices jointes ... * Une interface GTK pour naviguer rapidement dans le contenu du document. PDFStreamDumper http://sandsprite.com/blogs/index.php?uid=7&pid=57 PDF Stream Dumper est un outil gratuit qui aide l'analyse des documents PDF mali cieux. Il a aussi quelques fonctionnalits qui peuvent le rendre utile pour le dvel oppement vulnrabilit PDF. Des outils spcialiss qui traitent de code JavaScript obscu rcie, le faible niveau d'en-tte et le lecteur PDF objet sont disponibles. En term es d'analyse shellcode, il dispose d'une interface intgre pour sctest libemu, une mise jour de construire SCLOG iDefense, et une fonction shellcode_2_exe. des out ils JavaScript comprennent l'intgration avec JS-Beautifier pour le formatage du c ode, la possibilit d'excuter des portions du script vivre pour vivre de-faux-fuyan ts, ainsi qu'un moteur de refactorisation assez stable qui va analyser un script et remplacer les noms de toutes les fonctions screwy alatoire et variable avec l ogique versions expurges pour une meilleure lisibilit sont galement disponibles. Liste complte des fonctionnalits * Filtres supports: FlateDecode, RunLengthDecode, ASCIIHEXDecode, ASCII85Decode, LZWDecode * Des outils intgrs shellcode: o gui SCLOG (Shellcode outil d'analyse) o libemu scdbg outil d'analyse bas Shellcode o fonctionnalit Shellcode_2_Exe o Export unescaped octets de fichier * Prend en charge le chanage de filtre (c.--plusieurs filtres appliqus un mme flux) * Supporte unescaping ttes pdf cod * Interface scriptable pour traiter plusieurs fichiers et gnrer des rapports * Voir tous les objets pdf * Voir dgonfl les cours d'eau * Voir les dtails flux telles que les compensations de fichiers, d'en-tte, etc * Enregistrer les donnes brutes et dgonfl * Recherche flux pour les chanes * Scan pour les fonctions qui contiennent des exploits pdf (dumb scan) * Js javascript en forme en utilisant beautifier (voir les crdits dans le fichier README) * Voir le cours d'eau comme des dumps hexa * Zlib compresser / dcompresser des fichiers arbitraires * Remplacer / mise jour des flux pdf avec vos propres donnes * Basic interface JavaScript afin de pouvoir excuter les parties de scripts intgrs * PdfDecryptor w / source - iTextSharp utilise et requiert Net Framework 2.0. * Base de JavaScript-obsfuscator * Peut cacher: en-tte que les cours d'eau, double flux, certains flux * JS interface utilisateur a galement accs une classe de bote outils o simplifier les chanes fragment o les fichiers en lecture / criture o ne hexdumps o ne dcode unicode scurit moteur dsassembleur o o reproduire certaines communes Adobe API (nouveau) PDF Stream Dumper soutient galement unescaping / mise manipul en-ttes de fichier PD F, tout en tant capable de dcoder les chanes de filtre (plusieurs filtres appliqus l 'objet mme flux.) Via des plugins et ajoute des fonctionnalits d'automatisation vi a des scripts VBS diffrents. scripts d'automatisation en cours:
* Csv_stats.vbs - csv builds avec les rsultats de la barre de statut infrieur pour tous les fichiers dans un rpertoire * Pdfbox_extract.vbs - PDFBox utiliser pour extraire toutes les images et le tex te d'un fichier actif * String_scan.vbs - analyser tous les flux dcompress dans tous les fichiers dans u n rpertoire pour une chane que vous saisissez * Unsupported_filters.vbs - scanner un rpertoire et tablir une liste de tous les f ichiers PDF, qui ont des filtres non pris en charge * Filter_chains.vbs - scanne rcursivement rpertoire parent pour les fichiers PDF q ui utilisent des filtres d'encodage sur un flux. * Obsfuscated_headers.vbs - scanne rcursivement rpertoire parent pour les fichiers PDF qui ont obsfuscated ttes objet * Pdfbox_extract_text_page_by_page.vbs - utilise PDFBox pour extraire des donnes de page dans des fichiers individuels PyOLEScanner https: / / github.com / Evilcry / scripts Python PyOLEScanner - malveillant de dtection de fichiers Office http://evilcodecave.blogspot.com/2010/08/malicious-office-files-analysis Lire la suite ... pour plus d'informations de fond Version 1.3 contient: 1. 2. 3. 4. 5. 6. Correction d'un bug. Plus Shellcode dtection. Plus d'API de dtection. SQLite Support. Macro OLE2 Scan. Office2007 (docx / pptx / xlsx) vrifie dgonfler et Macro.
Rpertoire scan fonctionne aussi, en prsence de chiffrement un dchiffr exemplaire. UTILISATION: _suspect_document pyOLEScanner.py python Compatibilit avec Windows et Linux est maintenu. flasm http://www.nowrap.de/flasm.html Flasm dsassemble votre SWF entier, y compris tous les dlais et les vnements. En rega rdant le dmontage, vous apprendrez comment fonctionne le compilateur de Flash, ce qui amliore vos comptences ActionScript. Vous pouvez galement faire quelques optim isations sur le code dsassembl la main ou ajuster le code que vous le souhaitez. F lasm applique ensuite les modifications apportes l'original SWF, en remplacement des actions originales. Il est galement possible d'intgrer des actions flasm dans votre code ActionScript, ce qui rend l'optimisation de grands projets plus l'aise. Flasm n'est pas un dcompilateur. Qu'est-ce que vous obtenez est la reprsentation l isible de bytecode SWF, pas source ActionScript. Si vous tes la recherche d'un dco mpilateur, Flare peut rpondre vos besoins. Toutefois, Flare ne peut pas modifier le fichier SWF. swfmill http://www.swfmill.org/ Son utilisation la plus courante est la gnration de bibliothques de ressources cont
enant des images (PNG et JPEG), les polices (TTF) ou d'autres films SWF pour une utilisation avec MTASC ou haXe compil ActionScript, bien swfmill peut tre utilis p our produire la fois des structures simples et complexes SWF . * Construit autour d'un XSLT / processeur EXSLT (libxslt) * Entre et de sortie de la transformation XSLT peut tre soit XML ou binaire SWF * les commandes XSLT pour l'importation de PNG, JPEG, SWF et TTF, et pour la car tographie SWF numros d'identification * Built-in "dialecte simple" pour soutenir la cration et le renforcement des fond s souverains bibliothque simple swfmill a t crit par Daniel Turing, mais est maintenant mis jour par Daniel Cassidy . Il comprend des contributions substantielles par Ralf Fuest, Steve Webster et d'autres. Graudit http://www.justanotherhacker.com/projects/graudit/download.html Graudit est un script simple et ensembles de signature qui vous permet de trouve r des failles de scurit potentielles dans le code source en utilisant l'utilitaire grep de GNU. Il est comparable d'autres applications d'analyse statique comme d es rats, et vice-SWAAT viseur. Version 1.8 *-L 'oprateur ne vim numros de ligne convivial Man pages * et mises jour de documentation * Mises jour la signature PHP * Mises jour la signature JSP * Mises jour la signature Dotnet * Mises jour la signature Perl et corrections de bugs * Mises jour la signature Python Bug * aux correctifs pour / scripts Plus * aux / scripts * Correction d'ignorer les rpertoires CVS par dfaut IEZoneAnalyzer http://blogs.technet.com/b/fdcc/archive/2011/04/14/iezoneanalyzer-v3.aspx IEZoneAnalyzer est un utilitaire pour visualiser et comparer les paramtres d'Inte rnet Explorer zone de scurit. Il est particulirement utile sur les systmes contrls par la stratgie de groupe, laquelle la norme de scurit bote de dialogue des paramtres ne permet pas l'affichage des paramtres.IEZoneAnalyzer version 3 reprsente une rcritur e totale, l'ajout d'une quantit considrable de nouvelles fonctionnalits par rapport aux versions antrieures. Notez que IEZoneAnalyzer ne ncessite pas de droits d'adm inistration. Il n'a pas non plus un programme d'installation - il suffit d'excute r l'utilitaire directement.IEZoneAnalyzer ne require.NET Framework 3.5. Les principales caractristiques de IEZoneAnalyzer: * Voir les paramtres de zone de scurit efficace pour toute la zone de scurit sur l'or dinateur local ou exportes partir d'un ordinateur distant et d'identifier si chaq ue paramtre a t cr par la politique. * Comparez les paramtres entre deux ou plusieurs zones de scurit ou de modles. * Voir et comparer des ensembles complets de paramtres capturs sur diffrents ordina teurs ou sur un seul ordinateur dans le temps (par exemple, pour dterminer si un systme a dvi de ses rglages de base). * Rsultats l'exportation vers Excel ou vers un fichier texte Comma Separated Valu es (CSV). * Comparaison des rsultats du filtre pour voir seulement les diffrences ou les con
flits. * Trier, rorganiser et redimensionner les colonnes du rsultat. * Copie slectionn ou tous les rsultats dans le presse papier. INetSim http://www.inetsim.org/index.html L'objectif du projet INetSim est d'effectuer une analyse rapide d'excution du com portement du rseau des chantillons de logiciels malveillants inconnus dans un envi ronnement de laboratoire. Modules pour la simulation des services suivants sont inclus: * * * * * * * * * * * * HTTP / HTTPS SMTP / SMTPS POP3 / POP3S DNS FTP / FTPS TFTP IRC NTP Ident Finger Syslog Dummy.
Immunit Debugger http://www.immunityinc.com/products-immdbg.shtml Immunit Debugger est un nouveau moyen puissant pour crire des exploits, analyser l es programmes malveillants, et d'inverser les fichiers binaires ingnieur. Il s'ap puie sur une interface utilisateur graphique solides avec la fonction, d'une par t de l'industrie l'outil d'analyse tas construit spcifiquement pour la cration du tas, et un grand et bien pris en charge l'API Python pour l'extensibilit facile. -Un dbogueur avec des fonctionnalits conues spcifiquement pour l'industrie de la scur it -Morceaux d'exploiter le temps de dveloppement de 50% -Simple, comprhensible interfaces -Robuste et puissant langage de script pour automatiser le dbogage intelligent -Lger et rapide mise au point pour prvenir la corruption lors de l'analyse complex e -Une connexion fuzzers et d'exploiter les outils de dveloppement Mallory http://intrepidusgroup.com/insight/mallory/ Mallory est un transparent TCP et UDP proxy. Il peut tre utilis pour obtenir lors de ces difficiles intercepter des flux rseaux, valuer les applications Web mobile dlicate, ou peut-tre il suffit de tirer une blague votre ami. En termes plus techniques, Mallory est un extensible TCP / UDP homme dans le mil ieu proxy qui est conu pour tre excut en tant que passerelle. L'objectif est pour l'homme dans le milieu de la circulation des fins de test. L a configuration idale pour Mallory est d'avoir une LAN ou victime que Mallory rseau ag it en tant que passerelle pour. Cela peut tre configur dans un environnement de ma chines utilisant des interfaces d'accueil virtal seul rseau. Les machines virtuel les victime puis configure la machine Mallory que la passerelle par rgler manuell ement sa passerelle. La machine passerelle aura au moins une interface WAN qui a
ccorde l'accs Internet. Le rseau victime utilise ensuite la passerelle Mallory pou r acheminer le trafic. Structure des dossiers * Ca - autorit de certification fichiers, y compris la cl prive de Mallory * Certs - certs MiTM qui sont crs la vole * Db - rpertoire o sont stockes toutes les donnes des fichiers mallory mallory * - rpertoire vide * Src - o le code des vies * Les scripts - scripts utiliss pour configurer l'environnement de mallory Fuzzer fichier MiniFuzz http://www.microsoft.com/downloads/en/details.aspx?FamilyID=B2307CA4-638F-4641-9 946-DC0A5ABE8513 & 3bdisplaylang% = fr & pf = true MiniFuzz est un outil de test de base conu pour aider dtecter les failles du code qui peut exposer les failles de scurit dans le code de gestion des fichiers. Cet o util cre de multiples variations alatoires du contenu du fichier et il se nourrit de l'application pour tester le code dans une tentative d'exposer le comportemen t des applications inattendues et potentiellement dangereux. NetworkScanViewer http://www.woany.co.uk/networkscanviewer/ NetworkScanViewer est une application graphique conu pour aider afficher les rsult ats de nessus (v4) et nmap (v5) les rsultats d'analyse. Il combine les fonctionna lits des deux NessusViewer et NmapViewer. Le chargement de l'application de l'analyse des donnes de nessus et nmap XML, fai t un peu de nettoyage des donnes, puis affiche les rsultats sur la liste des rsulta ts. Les donnes de la liste peut tre trie en cliquant sur les en-ttes de colonnes, il est facile de commander et de trouver de l'information notamment. Il ya aussi l a possibilit de filtrer des informations spcifiques, comme hte, le port, etc servic e il est donc facile de forer vers le bas pour des informations spcifiques. Les exportations de la fonctionnalit d'exportation en utilisant les donnes figuran t dans la liste des rsultats, donc si vous changez l'ordre de tri ou filtrer les rsultats, il se reflte dans l'exportation. Il est galement possible d'exclure de ma nire permanente scripts qui vient de gnrer du bruit par un clic droit sur l'lment et en slectionnant "Ignorer Plugin" dans le menu contextuel. scripts exclus peuvent t re rajouts tout moment en utilisant la fentre Options. Caractristiques * * * * * Le nettoyage des donnes Exporter au format CSV et XML Sortable colonnes de donnes Filtrage des donnes Script exclusion
ProcNetMonitor http://securityxploded.com/procnetmonitor.php ProcNetMonitor est l'outil gratuit pour surveiller l'activit rseau de tous les pro cessus en cours dans le systme. Il affiche tous les ports d'un rseau ouvert (TCP / UDP) et les connexions rseau actives pour chaque processus. Il a avanc la couleur systme bas analyse automatique pour le rendre facile de distinguer les processus rseau orient des autres avec un seul coup d'il sur la liste.
Il prsente galement des caractristiques uniques Port Finder" de chercher facilement le port particulier dans tous les processus en cours avec un seul clic. Il est ga lement livr avec fonction d'exportation pour enregistrer la liste complte des proc essus de port un fichier HTML standard pour l'analyse hors-ligne. SQLInject Finder http://code.google.com/p/sqlinject-finder/ Brve description Simple script python qui analyse travers un pcap et se penche sur l'EEG et des d onnes requte POST pour suspectes et SQL injecte possible. Rgles pour contrler l'inje ction SQL peuvent tre facilement ajouts. La sortie peut tre imprim avec soin sur la ligne de commande ou en format dlimit par des tabulations. La sortie comprend: * * * * L'adresse IP suspectes La page Web attaqu Le paramtre et la valeur utilise Le numro de chssis du paquet dans le pcap (peut tre utilis pour trouver exactement o le paquet est dans Wireshark) * La raison pour laquelle la demande a t signale TitanEngine http://www.reversinglabs.com/products/TitanEngine.php Avec le temps, les auteurs de malwares sont de plus en plus intelligents et ont russi trouver des moyens d'chapper un logiciel de scurit. La seule chose entre une " propre" machine et les logiciels malveillants est un analyseur de dsosser les log iciels malveillants /. Comme malwares s'quiper avec les nouvelles techniques, il devient impratif pour la rtro-ingnierie pour tester les logiciels malveillants dans le temps mis leur disposition. Des outils comme TitanEngine va srement nous aide r dans notre analyse de logiciels malveillants et les efforts d'ingnierie inverse ! Il est l'un des outils que nous avons t en attente pour le tlchargement depuis le moment o il a t annonc lors de la BlackHat 09! TitanEngine est livr OPEN SOURCE cadre de la Labs rversibles qui peuvent tre utiliss pour effectuer plus de 250 fonctions! Le meilleur de tous, vous pouvez avoir to ut cela automatis. Il peut galement tre utilis pour fabriquer de nouveaux outils qui fonctionnent avec des fichiers PE! Les deux - 32 bits et 64 bits formats sont s upports! Il peut tre utilis pour crer tous les types connus de dballeurs. Ses fonctio ns sont les suivantes: * SDK a 250 fonctions documentes * Automatisation facile de tous les outils de renverser * Prend en charge x86 et x64 * Possibilit de crer: statique, dynamique et gnrique dballeurs * Test sur plus de 150 dballeurs * C'est gratuit et open source LGPL3! * Intgr x86/x64 dbogueur * Intgr x86/x64 dsassembleur * Dumper la mmoire intgre traceur import * intgr et du fixateur * Fixateur de rinstallation intgr * Realigner de fichiers intgr * Fonctions de travailler avec TLS, ressources, les exportations, ... inspecteur du noyau Tuluka
http://www.tuluka.org/index.html uluka est un nouvel outil puissant (antirootkit), qui a les caractristiques suiva ntes: * Dtecte les processus cachs, les conducteurs et les dispositifs * Dtecte les IRP crochets * Identifie la substitution de certains champs dans la structure DRIVER_OBJECT * signatures pilote vrifie * Dtecte et restaure SSDT crochets * Dtecte les descripteurs de suspect dans GDT * De dtection de dcrochage IDT * De dtection de dcrochage SYSENTER * Affiche la liste des threads du systme et vous permet de les suspendre * API et de dtection de dcrochage en ligne * Indique les valeurs relles des registres de dbogage, mme si la lecture de ces reg istres est contrle par une personne * Permet de trouver le module du systme de l'adresse dans ce module * Permet d'afficher le contenu de la mmoire du noyau et de l'enregistrer sur le d isque * Vous permet d'enregistrer les pilotes du noyau et des modules principaux de to us les processus * Permet de mettre fin tout processus * Est capable de dissasemble gestionnaires d'interruption et de la CEI, les serv ices systme, routines dbut de threads du systme et beaucoup plus * Permet de construire la pile pour appareil slectionn * Beaucoup plus .. Affiche les informations ci-dessus indiqu dans l'interface graphique pour l'utili sateur de voir et sans doute d'utiliser ces informations pour l'analyse Vera http://www.offensivecomputing.net/?q=node/1316 VERA, le programme de l'ingnierie inverse de visualisation bas sur le projet Ether . Reverse Engineering par diapositives Crayon de la Blackhat parler. http://www.offensivecomputing.net/bhusa2009/oc-reversing-by-crayon-bhusa ... Analyse Malware via les extensions de virtualisation matrielle: Ether http://ether.gtisc.gatech.edu/ http://www.offensivecomputing.net/?q=node/1379 WinAPIOverride32 http://jacquelin.potier.free.fr/winapioverride32/ WinAPIOverride32 est une source ouverte et un logiciel avanc de surveillance API pour les systmes d'exploitation Windows. Vous pouvez l'utiliser pour surveiller e t / ou remplacer toute fonction d'un processus! Vous pouvez le faire pour les fo nctions API ou excutable fonctions internes. Cela peut tre particulirement utile lo rsque vous traitez avec des malwares ou de tenter d'inverser certaines applicati ons ingnieur. Quelques-unes des fonctions WinAPIOverride32 sont les suivants: * Vous pouvez dfinir des filtres sur les paramtres ou de rsultat de la fonction * Vous pouvez dfinir des filtres sur les dll de rejeter les appels de Windows DLL systme * Vous pouvez fonctions crochet l'intrieur du processus cible non seulement API
* Vous pouvez brancher asm fonctions avec les paramtres passs travers les registre s * Vous pouvez exceptions matriel et des logiciels crochet * Double rsultats et le flotteur sont enregistrs * Vous pouvez facilement remplacer une API ou tout autre procd fonction interne * Vous pouvez casser processus avant et / ou aprs appel la fonction de mmoire chan gement ou des registres * Vous pouvez appeler des fonctions qui sont l'intrieur du processus distants * Peut interfaces COM crochet OLE et ActiveX Les types d'utilisateurs * (enum, struct et syndicat) et l'utilisateur dfinit son t pris en charge * Tout est est fait comme modules: vous pouvez vous connecter ou de remplacer de faon indpendante pour toute fonction * Open Source * Une bibliothque est prvue pour les dveloppeurs qui ont l'intention de construire un logiciel de leur accrochage WinAPIOverride32 tente de combler le foss entre les logiciels classiques de surve illance API et les dbogueurs. Vous pouvez aussi "casser" une application cible ava nt ou aprs un appel de fonction, permettant des modifications de la mmoire ou des registres, et il peut directement appeler des fonctions de l'application cible. I l s'agit d'une application merveilleuse source ouverte, crit en C + +. Analyseur de l'tat du systme Windows http://go.microsoft.com/fwlink/?LinkID=140110 http://go.microsoft.com/fwlink/?Li nkID=140109 La fonctionnalit de base de l'outil de l'tat du systme Analyzer est de vous permett re de comparer deux photos prises diffrents points dans le temps. Cela vous perme t de comparer l'tat d'une machine la fois avant et aprs une demande d'installation ou probablement vous pouvez l'utiliser dans votre VM comme une premire tape dans l'analyse des logiciels malveillants ou ingnierie inverse Cet outil est une partie de la Windows 2008 R2 Logo de certification de logiciel s et Windows 2008 R2 Logo Logiciel outils de certification.Par consquent, vous au rez besoin de tlcharger les pochettes d'information pour obtenir le systme d'tat Ana lyzer. Yara http://code.google.com/p/yara-project/ Yara est un outil visant aider les chercheurs identifier les logiciels malveilla nts et classer des chantillons de logiciels malveillants. Avec YARA vous pouvez c rer des descriptions de familles de logiciels malveillants en fonction des modles textuels ou binaires contenues sur des chantillons de ces familles. Chaque descri ption comprend un ensemble de cordes et une expression boolenne qui dtermine sa lo gique bitblaze http://bitblaze.cs.berkeley.edu/ analyse binaire est impratif de protection des COTS (commune hors-the-shelf) et l 'analyse des programmes et se dfendre contre la multitude de codes malveillants, o le code source n'est pas disponible, et le binaire peut mme tre masque. En outre, l'analyse binaire fournit la ralit de terrain sur le comportement du programme pui sque les ordinateurs d'excuter des binaires (excutables), pas de code source. Cepe ndant, l'analyse binaire est difficile en raison de l'absence de la smantique de niveau suprieur.De nombreuses techniques de niveau suprieur sont souvent insuffisa nts pour l'analyse, mme bnigne binaires, et encore moins binaires potentiellement malveillants. Ainsi, nous avons besoin de dvelopper des outils et techniques qui
travaillent au niveau binaire, peut tre utilis pour l'analyse des logiciels commer ciaux, ainsi que les binaires malveillants. Le projet vise BitBlaze pour concevoir et dvelopper une plate-forme d'analyse pui ssant binaires et emploient la plate-forme afin de (1) d'analyser et de dvelopper de nouveaux mcanismes de protection et de diagnostic et de COTS (2) analyser, co mprendre et dvelopper des dfenses contre les codes malveillants. Le projet s'effor ce galement BitBlaze d'ouvrir de nouveaux domaines de l'analyse binaire, qui four nit des solutions saines et efficaces des applications au-del des logiciels de scu rit et de dfense codes malveillants, tels que l'ingnierie inverse du protocole et l a gnration d'empreintes digitales. cross_fuzz http://lcamtuf.coredump.cx/cross_fuzz http://lcamtuf.blogspot.com/2011/01/announcing-crossfuzz-potential-0-day ... Le fuzzer doit beaucoup de son efficacit pour la gnration dynamique de trs longue du re de liquidation des squences d'oprations DOM dans plusieurs documents, inspecter des objets retourns, recursing en eux, et la cration de rfrences nud circulaire que l es mcanismes de stress-test de collecte des ordures. cross_fuzz dtaille fuzzing algorithme: 1. ts ue Ouvrez deux fentres avec des documents de tout type (DOM-activ). Simple documen HTML, XHTML, SVG et sont choisis au hasard comme des cibles par dfaut - bien q tout autre, les formats pris en charge ventuellement plugin-pourraient tre cibls la place.
2. Crawl DOM hirarchie du premier document, la collecte de rfrences des objets renc ontrs pour une rutilisation ultrieure.objets visites et rfrences recueillies sont tiqu ts en utilisant une proprit inject pour viter une rcursion infinie; une liste noire se condaire est utilise pour empcher la navigation loin ou descendre dans la fentre pr incipale. Critique, mlange alatoire et le contrle de sortance rcursivit sont utiliss p our assurer une bonne couverture.
3. ramper DOM Rptez, au hasard peaufiner rencontres proprits de l'objet en les plaant une l'une des rfrences prcdemment enregistres (ou, avec une certaine probabilit, un d une poigne de cod en dur "intressant" valeurs).
4. ramper DOM Rptez, au hasard d'appel rencontres mthodes de l'objet. paramtres d'app el sont synthtiss en utilisant des rfrences recueillies et intressant valeurs, comme i diqu ci-dessus. Si une mthode retourne un objet, sa sortie est ensuite analys et mo difi d'une manire similaire. 5. Alatoirement dtruire premier document en utilisant l'un des plusieurs mthodes po ssibles, la collecte des ordures bascule. 6. Effectuer le mme ensemble de ramper et oprations tweak pour le deuxime document, mais les rfrences utiliser les donnes collectes partir du premier document pour cras er les proprits et les mthodes d'appel dans le second. 7. Alatoirement dtruire les fentres de document, effectuer plus d'un pourcentage de rfrences recueillies pour le prochain cycle de fuzzing. dirtyJOE http://dirty-joe.com/ dirtyJOE - Java ensemble Editor est un diteur complexe et visionneuse pour les fi chiers binaires Java compils (fichiers de classe.). La version actuelle a encore
quelques limitations, mais j'espre que ceux qui seront supprims dans les prochaine s versions. dirtyJOE est gratuit pour un usage non-commercial. dirtyJOE est entirement crit en C + +, aucune bibliothque tierce partie taient utili ss. Principales caractristiques: * Viewer pour: constant pool, mthodes, champs, attributs * Sous la direction de:-tte du fichier constant pool, bytecode, fl0p http://lcamtuf.coredump.cx/fl0p-devel.tgz Cet outil a t libr le chemin du retour en l'an 2006 par M. Michal Zalewski. Il est l a croyance populaire que les protocoles scuriss tels que SSH, HTTPS, FTPS, etc son t compltement l'abri de la surveillance. Mais, fl0p va vous prouver le contraire. fl0p est un simple flux analyse passive L7 fingerprinter. Il examine passivement la suite des changes client-serveur l'intrieur de votre rseau avec leurs leur couc he relative 7 tailles de charge utile et des intervalles de transmission. Le rsul tat est ensuite jumels avec une base de donnes de signatures modle de trafic de ddui re de ses observations. Il le fait non pas en reniflant, mais seulement avec le rsultat. C'est pourquoi ayant une bonne base de donnes est la base de donnes import ant.The peut tre trouv dans le fichier fl0p.fp. Vous vous pouvez ajouter et amliore r la base de donnes avec vos entres. De la sortie que l'outil affiche, vous pouvez dchiffrer les adresses IP des deux htes participant la communication. En cas de trafic HTTPS, vous pouvez peut-tre au ssi vrifier le site que le client a demandes.
Il a t lchement bas sur un autre outil merveilleux - p0f et a t cod en C. Ceci tant l aison, il est pris en charge sur de nombreux systmes - Linux, * BSD, MacOS X, AIX , et Cygwin. Cela peut tre une intressante si vous avez beaucoup de temps pour planifier l'avan ce votre attaque. Vous pouvez continuer regarder la sortie et en apprendre davan tage sur le rseau. javasnoop http://code.google.com/p/javasnoop/ JavaSnoop est un outil qui vous permet d'intercepter les mthodes, modifier les do nnes et ailleurs tester la scurit des applications Java sur votre bureau. Il le fai t, en vous permettant de l'attacher un processus existant (comme un dbogueur) et instantanment avec altration des appels de mthode, d'excuter du code personnalis, ou simplement regarder ce qui se passe sur le systme. Comment faut-il joindre un pro cessus existant? Il installe stageloading "crochets" avec l'API Java Instrumenta tion et en travaillant avec certains bytecode. http://www.aspectsecurity.com/tools/javasnoop/ malwareanalyzer http://code.google.com/p/malwareanalyzer/ Il peut tre utile pour l'analyse de chane de base de registre Windows, les appels d'API, les commandes IRC, dtection DLL code appel et anti-VMWare. Il affiche en-tte s dtaille des PE avec tous ses dtails l'article, l'importation et l'exportation des
symboles etc Il peut galement effectuer une vidange complte de l'ASCII PE avec d' autres options. Il peut aussi gnrer des diverses sections d'un PE, comme l'en-tte D OS, DOS Stub, PE-tte de fichier, l'image d'en-tte en option, la section de table, Rpertoires de donnes, articles, etc analyseur Malware vous aidera galement l'analys e de code et de dmonter les logiciels malveillants. Il peut galement effectuer une vrification de logiciels malveillants en ligne www.virustotal.com.Sur la base de signatures PEiD, il peut galement dtecter les emballeurs utilis pour compresser le fichier. Il fournit galement une fonctionnalit de traage qui peuvent tre utiliss pou r identifier les anti-debugging tricks appels, appels de fichiers systme de manip ulation, rootkit crochets, crochets de clavier, DEP modification des paramtres, e tc minibis http://cert.at/downloads/software/minibis_en.html Construire une station automatise d'analyse personnalisables logiciels malveillan ts en utilisant uniquement des composants disponibles gratuitement l'exception d e la cible OS (Windows XP) elle-mme. En outre, un accent particulier rside dans la manipulation une norme quantit d'chantillons de logiciels malveillants et la mise en uvre effective au CERT.at. Comme l'objectif principal du lecteur de ce documen t devrait tre en mesure de construire sa propre installation et de configuration spcifiques tout en tant libre dans sa dcision les composants utiliser. pyrtique http://code.google.com/p/pyretic/ antipyrtiques et le dbogueur REpdb faciliter l'accs l'obtention de source ferme appl ications Python source. En un mot il vous permet de prendre un objet dans la mmoire au code source, sans avoir besoin de l'accs au bytecode directement sur le disque. Cela peut tre utile si le pyc applictions sur disque sont brouilles dans l'une des nombreuses faons. Prsentation de blackhat ici: http://prezi.com/kmyvgiobsl1d/pyretic-rich-smith-bla ckhatdefcon-2010/ streamarmor http://www.rootkitanalytics.com/tools/streamarmor.php StreamArmor est l'outil sophistiqu pour la dcouverte cache flux de donnes alternatif s (ADS) ainsi que de les nettoyer compltement le systme. C'est l'analyse automatiq ue de pointe associe un mcanisme de vrification en ligne menace en fait le meilleur outil disponible sur le march pour radiquer le mal d'eau. StreamArmor rapide est livr avec scanner multi ADS filet qui peut parcourir de faon rcursive sur le systme e ntier et dcouvrir rapidement tous les ruisseaux cachs. Toutes ces dcouvertes flux s ont reprsents en utilisant la couleur spcifique Patten fonction du niveau de menace qui le rend facile pour les yeux de l'homme de faire la distinction entre les s uspects et les cours d'eau normale. StreamArmor a intgr dans le mcanisme de dtection avance de type de fichier qui examin e le contenu du fichier de dtecter avec prcision le type de fichier de flux. Il es t donc grand outil de l'analyse mdico-lgale dans la dcouverte de documents cachs / i mages / audio / vido / base de donnes des fichiers / archives dans le flux de donne s alternatifs. StreamArmor est autonome, application portable qui ne ncessite auc une installation. Il peut tre copi n'importe quel endroit dans le systme et excut dir ectement. tcpdump http://www.tcpdump.org/
tcpdump est un outil informatique commun de dbogage rseau qui s'excute sous la lign e de commande. Il permet l'utilisateur d'intercepter et afficher TCP / IP et les autres paquets sont transmises ou reues sur un rseau auquel l'ordinateur est conn ect. VUSB-analyseur http://vusb-analyzer.sourceforge.net/ Le Virtual USB Analyzer est un outil gratuit et open source permettant de visual iser les journaux des paquets USB, partir d'outils matriels ou logiciels renifleu rs USB. Pour autant que nous savons, c'est le premier outil au monde pour fourni r une visualisation graphique avec des dumps hexa premires et d'analyse de protoc ole de haut niveau. Le Virtual USB Analyzer n'est pas en soi un outil sniffeur USB. Il est juste une interface utilisateur permettant de visualiser les journaux. Il supporte actuel lement trois formats de journaux, mais il est conu pour tre facilement extensible. Avec une dizaine de lignes de code Python en couple, vous pouvez ajouter le sup port pour votre format de journal favori. Nous avons dvelopp VUSB-analyseur chez VMware comme un moyen efficace pour dboguer notre virtualisation propre pile USB.Nous voulions un outil qui a fait, il est f acile de voir les problmes un coup d'il, et nous voulions un moyen de rsoudre les d eux exactitude des bugs de performance. En consquence, nous nous sommes retrouvs a vec ce que nous pensons est un outil assez unique. Nous sommes ravis d'avoir mai ntenant l'occasion de la libration de cet outil en tant que logiciel open source, sous licence MIT. http://esec-lab.sogeti.com/dotclear/index.php?post/2011/04/06/Sniffing-U ... VMWare offre la possibilit de jeter tout le trafic usb au plus bas niveau un fich ier de vidage. Nous allons dcrire ici comment activer cette fonction, et en outre publier un script pour convertir le fichier dump au format PCAP, adapt pour une utilisation avec wireshark. Attaquer Applications Process Hacker http://processhacker.sourceforge.net/ Process Hacker est un lment-emballs outil pour manipuler les procds et services sur v otre ordinateur. Un simple arborescence personnalisable avec mise en surbrillance de vous montrer les processus s'excutant sur votre ordinateur. # Graphiques de performances dtaills. # Une liste complte des services et un contrle total sur leur (marche, arrt, pause, reprendre et supprimer). # Une liste des connexions rseau. # Des informations compltes pour tous les processus: l'histoire complte la perform ance des processus, annonce fil et piles avec les symboles dbghelp, les informat ions du jeton, informations sur les fichiers du module et cartographis, la carte mmoire virtuelle, les variables d'environnement, poignes, ... # Contrle total sur tous les processus, les processus, mme protgs par des rootkits o u des logiciels de scurit. Son pilote en mode noyau a des capacits uniques qui lui permet de rsilier, de suspendre et de reprendre tous les processus et les threads , y compris les logiciels comme IceSword, avast! anti-virus, AVG Anti-Virus, Com odo Internet Security, etc (pour n'en nommer que quelques-uns). # Trouver les processus cachs et de les dnoncer. Process Hacker dtecte les processu
s cachs par les rootkits simples telles que le Hacker Defender et FU. # Easy DLL injection et de dchargement - simplement un clic droit et slectionnez u n processus "Injecter DLL" afin d'injecter et un clic droit sur un module et slec tionnez "Dcharger" pour dcharger! # Beaucoup d'autres fonctionnalits ... Sniff-n-Spit http://www.andlabs.org/tools.html Au cours de tests d'intrusion, on peut voir que les paisses clients parfois commu niquer avec un serveur dont l'adresse IP est cod en dur pour it.The communication HTTP entre le client et le serveur est par exemple difficile d'intercepter et d 'essai. Sniff-n-Snip est un utilitaire trs utile dans de tels scnarios. Il renifle les paquets HTTP du client vers le serveur et les transmet votre proxy prfre (Burp , WebScarab, etc Paros). Des entres d'utilisateur: L'outil prvoit l'entre d'utilisateur suivants: * Nombre de l'interface d'coute. Ce numro peut tre trouv en utilisant le "-l". * Source IP, port source (en option), IP de destination, et Destination Port de la session TCP qui est ddaigner * IP cible et la cible Port du proxy Interceptor. Gnralement, les valeurs seront 1 27.0.0.1, 8080. * L'outil peut tre forc couter sur le mode promiscuous "dans le"-p "commutateur. Ce ci est dsactive par dfaut. Exigences: * WinPcap doit tre install sur le systme, l'outil a besoin de cette bibliothque pour l'analyse des paquets. Le vol TFTP http://code.google.com/p/tftptheft/ Le vol TFTP est un outil qui permet de numriser rapidement / bruteforce un serveu r tftp pour les fichiers et les tlcharger instantanment. thief.py - des tlchargements de fichiers bas sur un modle ou une liste de fichiers finder.py - cherche des serveurs TFTP sur une plage d'adresses IP de la cible TFTPTheft est une collection de deux scripts - un pour le tlchargement de fichiers partir de cibles dcouvert et l'autre pour dcouvrir les objectifs. Les noms de ces scripts Python deux sont - thief.py et finder.py. Ainsi, vous pouvez considrer c e assez complet.C'est un outil qui permet de numriser rapidement / bruteforce un serveur TFTP pour les fichiers et les tlcharger instantanment. Il peut le faire, pa rce que TFTP, le protocole Trivial FTP souffre encore d'un inconvnient majeur - p as d'authentification. evilgrade rapport de recherche internationale http://www.infobyte.com.ar/developments.html Il est une structure modulaire qui nous permettent de tirer parti des implmentati ons de mise niveau pauvres en injectant des mises jour de faux.
Ce que vous pouvez faire est de laisser ISR-Evilgrade sais que quelqu'un est dem and pour une mise jour, et c'est tout. Le reste sera fait par l'outil lui-mme. L'o util d'origine va tlcharger une mise jour que si elle a t tlcharg depuis le site pri
pal au lieu de votre serveur de mise jour interne! A partir de maintenant, rappo rt de recherche internationale-Evilgrade prend en charge les modules suivants: FreeRIP 3,30 * * Jet photo 4.7.2 Teamviewer * 5.1.9385 ISOpen * 4.5.0 * Istat. Gom * 2.1.25.5015 * ATube Catcher 1.0.300 Vidbox * 7,5 * Ccleaner 30/02/1130 * FCleaner 1.2.9.409 * AllMyNotes 1,26 * Notepad + + 5.8.2 * Java 1.6.0_22 winxp/win7 aMSN 0.98.3 * * Testproxy 4 autoproxy> 5> Jumping 6> Loadproxy 7> supprimer 8> Modification PIED D'IMPRESSION 9 ip> se 10 adresses smtp> accaparement 11> traage bruts 12> identifier la technologie de serveur (en-tte) 13> collecte plein d'infos serveur tte 14> ramper e-mails provenant des moteurs de recherche (capacit de suivre des emai ls trop compliqu) 15 site> rampants (liens s'agiter de mme rpertoire) 16 Finder> page de connexion (soutien des ASP, ASPX, PHP, CFM, JSP, HTML, HTM, s ans des charges utiles) 17 sous> recensement de domaine 18 titres> nom d'hte de la gamme IP Analyse 19> service de serveurs Web 20 structure du site> empreintes digitales 21> qui est rechercher 22> inverser 23> numre les utilisateurs du serveur D'impression 24> pied dmon 25 systme d'exploitation> impression pied 26> SSLcheck (par cette tche, vous pouvez tester chiffrement SSL) 27> DBcheck (par cette tche, vous pouvez tester la base de donnes) 28> La surveillance de serveur web ANALYSE 29> obtenir des informations de port + d'infos service (avec du fil de manire trs rapide) D'injection 30> SQL Scan automobile de 30,1> numrisation url auto-30.2> la cration d'url exploitable auto-30.3> cheacking version auto-30.4> fuse table D'injection 31> balayage alatoire 32 LFI> scan 33 rfi> scan 34 rce> scan 35 xss> scan (HTTPS soutien aussi)
36 cgi> scan (chemins vuln plus) 37 cm> scan (joomla soutien, etc ... REMOB) 38> analyse personnalise 39> analyse complte Testant 40> ftp bruiting (premier chque de connexion anonyme) 41> bruiting smtp 42> bruiting imap 43> bruiting nntp 44> bruiting pop3 45> dbrutage RDP 46 rdp> dbrutage de plage d'adresses IP CRYPTAGE 47> Hashid 48 Onlinehash> 49 Autohash> 50> Md5 51> Sha1 52> SHA256 53> SHA384 54> SHA512 55> Base64enc 56> Base64dec SOUTIEN 57 constructeurs liste de mots> utilisant une combinaison personnalise 58> extraire des adresses IP partir de fichiers 59> extraire des courriels partir de fichiers 60> ramper mots de l'un des web qui vous est donne par 61 utilitaire wget> Task Server 62> obtenir des informations de port + d'infos service (avec du fil de manire trs rapide) 63 d'injection SQL> scan auto-63.1> numrisation url auto-63.2> la cration d'url exploitable auto-63.3> cheacking version auto-63.4> fuse table D'injection 64> balayage alatoire 65 LFI> scan 66 rfi> scan 67 rce> scan 68 xss> scan (HTTPS soutien aussi) 69 cgi> scan (chemins vuln plus) 70 cms> scan (joomla soutien, etc ... REMOB) 71> analyse personnalise 72> analyse complte VERBOUS TASK 73> obtenir des informations de port + d'infos service (avec du fil de manire trs rapide) 74 d'injection SQL> scan auto-74.1> numrisation url auto-74.2> la cration d'url exploitable auto-74.3> cheacking version auto-74.4> fuse table 75 d'injection> balayage alatoire 76 LFI> scan 77 rfi> scan 78 rce> scan 79 xss> scan (HTTPS soutien aussi) 80 cgi> scan (chemins vuln plus)
81 cm> scan (joomla soutien, etc ... REMOB) 82> analyse personnalise 83> analyse complte FORENSIC 84 analyse maleware> 85 analyse de Troie> (tche trs stupide) Exe 86> lot 87 Fileanalysis> 88 iptrace> Pentest (DE TRAVAIL SUR LA TCHE FEW) 89> Penmysql 90> Penpostgray 91> Penmssql 92 Penoracle> 93 Penaccess> EXPLOIT (pas test tous) 94 Expsearch> 95> Milexpgrab 96> Pacexpgrab 97> Mad 98 Boa> 99 Buletftp> 100 CesarFTP> 101 Efs> GOOGLE DORK (TCHE annes a PROBLME DE TRAVAIL SUR IT) 102 Dorkscan> 103 sous-balayage> 104 Gvscan> 105 Shellscan> 106 R
