Kernel Analysis, Open Source

He comenzando un proyecto Open Source lo he llamado "Kernel Analysis", el objetivo de la herramienta es detectar y reparar anomalías causadas por rootkits o Antivirus. El proyecto será desarrollado en inglés para que se unan personas con conocimientos en el tema y que no sean necesariamente hispanohablantes. El repositorio se encuentra en GitHub con su primera versión.
La primera versión solo incluye el driver que por ahora devuelve una matriz de los módulos cargados por el método de llamada directa a la API y por DKOM (Direct Kernel Object Manipulation). La GUI será subida en posteriores commits.

Link al repositorio en GitHub.

Saludos!

Generador de cadenas aleatorias

Comencé a aprender Java y este es mi primer programa decente xD
Les pide la longitud y devuelve la cadena.

package leer;

import java.util.Random;
import java.util.Scanner;

/**
 *
 * @author Orlando
 */
public class Leer {
    public static void main(String[] args) {
        System.out.println(".:.:.:.:.:.:.:.:.:.:.:.:..:.:.:.:.:.");
        System.out.println("        Generador de cadenas        ");
        System.out.println("            By xNeoDarkx            ");
        System.out.println(".:.:.:.:.:.:.:.:.:.:.:.:..:.:.:.:.:.");
        System.out.println("Introduzca la longitud de la cadena");
        System.out.println(RandomString(getInt()));
                // TODO code application logic here
    }
    
    private static String RandomString(int Longitud){
        int i;
        char letras[] = {'A','B','C','D','E','F','G','H','I','J', 'K','L','M','N','O','P','Q','R','S','T','U',
            'V','W','X','Y','Z','1','2','3','4','5','6','7','8','9','0','a','b','c','d','e','f','g','h','i','j',
            'k','l','m','n','o','p','q','r','s','t','u','v','w','x', 'y','z'};
        Random r = new Random();
        StringBuilder sTemp = new StringBuilder();
        
        for (i = 0; i < Longitud; i++){
            sTemp.append(letras[r.nextInt(letras.length)]);
        }
        return sTemp.toString();
    }
    
    private static int getInt(){
        Scanner ReadLn = new Scanner(System.in);
        return Integer.parseInt(ReadLn.next());
    }
}

Saludos!

Dumpear un módulo en memoria a disco[Parte 1]

Había estado buscando esta información hace mucho tiempo, pero por desgracia no la encontré o no supe como buscarla. A continuación hablaremos de como obtener un volcado (dump) de un módulo en memoria a un archivo en disco.

[+]Volcado de módulo.
[-]Conocimiento Previo.
[-]Conversión disco-memoria.
[-]Estructura de proceso y los módulos.
[-]Comenzando con el volcado.
[-]Archivo en disco.
[-]Referencias y agradecimientos.

[+]Volcado de módulo.[-]Conocimiento previo.

Para el entendimiento de este documento se necesita estudiar la cabecera PE, para ello les recomiendo el texto de The Swash "Formato de ficheros ejecutables", existen mas requerimientos pero tratare de ser explicativo en ese ámbito, les recuerdo que no soy un experto en este campo y lo que escribo son investigaciones que he hecho.

[-]Conversión disco-memoria.

Como el título lo dice para entender el volcado de un módulo, cualquier archivo que contenga una cabecera PE como es el caso de un Ejecutable o una DLL (Dynamic Link Library) con la única diferencia de que la DLL contiene una tabla de exportaciones válida y ciertas flags activadas en la cabecera PE, primero es necesario entender como un archivo en disco es cargado por el Loader de Windows en memoria ya sea en un proceso nuevo o dentro de un proceso.
Dentro de IMAGE_OPTIONAL_HEADER se encuentran muchos de los datos que nos interesan como es el caso de ImageAddress, SizeOfImage, SectionAlignment, FileAlignment y los DataDirectory's; como es sabido la cabecera y las secciones están alineadas siempre en múltiplos de FileAlignment y esto se repite en memoria pero tomando como unidad SectionAlignment que normalmente tiene el valor de 0x1000, el tamaño de una página de la memoria RAM.
Dentro del proceso de conversión lo que a nosotros nos importa es cuando se copian las secciones del disco a la memoria, ese proceso comienza tomando el valor de ImageBase (normalmente 0x400000) y a partir de ese valor se comienza a copiar la cabecera PE posterior a eso se copian las secciones; antes de que el proceso comience a correr el Loader carga los módulos o librerías que se necesitan leyendo la tabla de importaciones (IT) y llenando la tabla de direcciones de importaciones (IAT) para que el proceso completo pueda hacer uso de APIs.
¿Donde podemos encontrar la IAT?
Bueno la Import Table (IT) es un array de IMAGE_IMPORT_DESCRIPTOR, el cual contiene el nombre de la DLL, existe un elemento del array por DLL. El array tiene su fin en un espacio vacío, les dejo su estructura en C.

typedef struct _IMAGE_IMPORT_DESCRIPTOR {
union {
ULONG Characteristics; //Valor en 0 para terminar el array
ULONG OriginalFirstThunk; // Un RVA a el primer IMAGE_THUNK_DATA de la DLL
} DUMMYUNIONNAME;

ULONG TimeDateStamp; //No sirve de mucho, muestra la fecha de la DLL
ULONG ForwarderChain; // -1 if no forwarders
ULONG Name; //Un RVA a el nombre de la DLL
ULONG FirstThunk; //Este valor en memoria contiene un puntero a la IAT de la DLL
} IMAGE_IMPORT_DESCRIPTOR;

Como ven FirstThunk contiene un puntero a el primer IMAGE_THUNK_DATA, ¿cuál es la diferencia entre FirstThunk y OriginalFirstThunk?, la diferencia es que FirstThunk es actualizado por el Loader de Windows por las direcciones a lasAPIs actuales y OriginalFisrtThunk contiene la lista virgen.
Les dejo la estructura en C de IMAGE_THUNK_DATA :

typedef struct IMAGE_THUNK_DATA {
union {
LPBYTE    ForwarderString;
FARPROC Function;
DWORD     Ordinal;
PIMAGE_IMPORT_BY_NAME   AddressOfData;
} u1;
} IMAGE_THUNK_DATA,*PIMAGE_THUNK_DATA;

Esta estructura solo tiene un valor... Pero podemos utilizarla a gusto en la IAT se usa el valor Function el cual contiene un puntero a un procedimiento, en otras palabras a una API.
El caso de AddressOfData tiene un RVA a una estructura tipo IMAGE_IMPORT_BY_NAME. Su estructura es la siguiente:

typedef struct IMAGE_IMPORT_BY_NAME {
WORD    Hint;
BYTE    Name[1];
} IMAGE_IMPORT_BY_NAME,*PIMAGE_IMPORT_BY_NAME;

La variable Hint contiene el index de la función en la DLL (Si también se pueden cargar APIs por index)
La variable Name es el comienzo del nombre de la DLL.

En otra entrega continuare con el tema.
Saludos!

HashDB en crecimiento.

Ultimamente he tenido my descuidado el blog, debido a que tenía proyectos y se me ha olvidado xD.
Esta vez les traigo esta base de datos de Hash en MD5, actualemten tenemos mas de 1,500,000 de hashe (Relativamente pequeño) pero sigue creciendo, pronto implementare un sistema de usuarios con crackeo, lo que resultará en que les desencriptamos sus hashes :)

Entrada a la base de datos

Saludos!

HaveVirus?... & Problemas Personales.

Algunos me han visto un poco OFF en todos los foros que participo, incluso en mi propio blog xD.
He tenido una serie de problemas personales que me han hecho imposible participar activamente, pero eso no significa que ya no lo hare mas.

Les traigo una sorpresa. Algunos saben mi historial y conoceran que programa en distintos lenguajes, pero muchos me preguntaban y por que no los pones en practica, pues desarrollo una herramienta de escaneo de directorio y de archivos únicos.

Caracteristicas:
[+]11 AV funcionales; A2, Avast4, Avira, BitDefender, F-Prot, Kaspersky, MS Essential, NOD32, Panda, Sophos y VBA32. En este momento veo la posibilidad de agregar 3 AVs más Norton, Norman y Trend Micro.
[+]Escaneo por Menú Contextual. Me han dicho que se cansan de seleccionar el directorio o el archivo, pues ahora todo es mas fácil que click derecho "Escanear". Posteare un manual de uso pero será cuando alguien lo pruebe ;)
[+]Traducción a BB Code. Para postear en foros.
[+]Actualización Completa. Opción de actualizar todos los AVs de una vez.
[+]Configuración Personalizada. Ustedes deciden como quieren que escanee, si borra, no borra, etc.

Les dejo una captura para no dejarlos con las ganas xD

Mi MSE no funciona, lo estoy arreglando :D
Al momento de tomar la foto estaba arreglando el ratio por eso marca 10/10 xD

Espero les guste y esperenlo!

Pitbull Malware Analizer, Nueva Version!!!

Después de un descanso, las vacaciones y dias festivos -SlandG- me ha comunicado que es hora de empezar la nueva version la v2.5, por tanto nueva versión de server PMA Server v3.8 al terminar el PMA v2.5 el server será v4.0, debido a unos bugs que se arreglaran en la v3.9 y la v4.0 se agregará un uploader para enviar archivos sospechosos o que deseen que se firmen, posteriormente si el archivo resulta peligroso se agregara a la base de datos y se comunicará en el foro PSL la amenaza y el riesgo.

Este es el login del server se cambiará y mejorará.
Ademas se espera agregar cosas que quedaron inconclusas en la v2.4

Saludos!
xNeoDarkx

Neo Pitbull Agent RAT v2.01 "Avances"

Empezando desde cero y resolviendo todos los bugs antes de que surjan cuando ya esta todo el codigo.
He optimizado las siguientes opciones.
[+]Multi-Puerto: esta opcion asegura mas de 10000 puertos, pero vamos quien necesita tanto?? xD
[+]File-Manager Con todos los drives insertados, y navegación por accesos directos a escritorio, imagenes, etc; multi-descargas de un mismo remoto y de multiples remotos, ahora trabajo en la reanudación de una descarga, parada o pausada.
[+]GUI del Cliente La estoy poniendo guapa xD, con iconos, imagenes, etc xD.

Saludos! les traere mas avances conforme los vaya terminando
xNeoDarkx

RAT!! Proyecto Modificado

Bueno después de trabajar por un buen rato en el RAT me canse de no recordar muchas cosas pues el proyecto tiene 1 año, al principio no tenía ni la menor idea de que hacia y solo copiaba y pegaba pero conforme fui aprendiendo decidí empezarlo desde 0.

Este nuevo comienzo y después de hablar con mi colaborador y amigo del PMA (Pitbull Malware Analizer) -SlandG- le pedí me diera autorización para usar el nombre de un proyecto suyo estancado.

El nombre es Pitbull Agent Spy pero prefiero darle mi toque y ahora el xNeoDarkx RAT se ha convertido en el Neo Pitbull Spy RAT con una nueva versión base de v2.01, pues hasta ahi deje el xNeoDarkx RAT.

Ahora programaré todo desde cero y tomando en cuenta lo que he hecho conscientemente, esperen mas avances del proyecto y pronto les pondré unas capturas

Saludos!
xNeoDarkx

NeoTeca v0.1, Regalo de Navidad

Bueno les traigo un regalito de navidad.
Queria regalarles algo que les fuera util a todos pero no se pudo =/, espero les sea util como a mi me lo esta siendo. Sobre todo a los Codders

¿Que demonios es NeoTeca?? Pues es un programa que organiza y almacena informacion de los proyectos
[+]Lenguajes que soporta
-Delphi
-VB6
-C/C++
[+]Notas por proyecto
[+]Visualizacion de codigo
[+]Informacion de archivo
[+]Abrir en editor predeterminado
[+]Abrir carpeta de archivo
[+]Multilenguaje (por defecto trae español e ingles, pero solo traduzcan y guarden como .ini y todo funcionará)


Les dejo unas capturas


Lo probe en W7 y XP SP3, repare todos los Bugs que encontre xD
Pero ya saben aqui estoy para cualquier cosa

Cliente (Contiene dos carpetas y el programa): http://www.multiupload.com/2GDIC83QDN
No-Pass xD

Saludos!!

PD: si quieren que le agregue mas lenguajes envíenme proyectos del lenguaje para estudiar la estructura

Pitbull Malware Analizer 2.4 Para Descargar.

Despues de mucho tiempo trabajando en él, por fin me alegro en decirles que esta disponible para descarga.
Contiene una licencia gratuita por 3 meses.
Escaneo de directorio
Peticion de menu contextual
Muchas mas sorpresas. Visiten el link y descubranlas.

Pitbull Malware Analizer 2.4 Liberado!!.

Saludos!!

Nuevo Proyecto, Biblioteca!

Pues debido a que aun trabajo en el PMA v2.4 necesito estar constantemente emprendiendo nuevas ideas, crear proyectos, buscarlos, almacenar código, etc.
Me dio la necesidad de hacer un programa de indexación como Google Desktop, pero solo para proyectos, con la finalidad de mantener en orden y saber donde están los proyectos que desarrollo para así agregarlos al PMA v2.4.

¿Cuales son las opciones?
[+]Capacidad para 3 lenguajes
-C
-VB6
-Delphi
[+]Indexación automática
[+]Notas en los proyectos
[+]Ruta de los componentes
[+]Ejecución de los proyectos
[+]Ruta de los editores

Son las ideas que tengo el proyecto lo acabo de comenzar y espero compartirselos a todos como regalo de navidad.
Saludos! y esperenla!!

Avisos Importante + Sorpresa

Pues continuo trabajando en el proyecto PMA con nuevos aditamentos asi como sorpresas!
Solo les puedo decir que cada vez es mas profesional y tal vez, solo tal vez algún día este en NVT jaja
Les dejo el link para que vean mas sobre este AV y sus detalles
Avisos Importante + Sorpresa

Multi-Killer Process by xNeoDarkx

Hola chicos el dia de hoy les traigo esta herramienta para Modders, es muy parecida a otras como la de Metal_Kingdom o la de DuNeD@i, incluso creo que tiene el mismo nombre O.O si es asi una disculpa fue el que se me ocurrio =/

Opciones:
-Ocultar Ruta
-Ocultar PID
-Cierra multiples procesos
-Copea la ruta del archivo





http://www.multiupload.com/X9UM16JK38
No tiene mucha ciencia pero espero no tenga bugs si es asi avisenme :P
xNeoDarkx y Saludos!

Locker EXE v2.0 by xNeoDarkx

Bueno les traigo la v2.0 que trae de nuevo??
Protección de cualquier tipo de archivo.
Algunos Bugs pequeños fueron arreglados
Cambie el metodo de apertura por lo que menos AV saltan






http://www.multiupload.com/5TWZJ394KT
Cualquier bug no duden en reportarlo
Saludos!

Locker EXE v1.0

Es como cualquier otra herramienta de bloqueo de archivos (bueno solo de EXEs xD), en cualquier otra para abrir el archivo necesitan desbloquearlo desde la interfaz y luego ejecutarlo, ahí es donde es completamente diferente, pueden ejecutar su archivo normalmente les pedirá la pass y si la han escrito tal cual el programa bloqueado se ejecutará ahorrándose trabajo.
Les digo que no lo desbloquea solo lo ejecuta, para desbloquearlo tienen que ir al cliente, todo esta encriptado tanto la pass como el archivo para evitar que lo vean con HEX xD

Les dejo capturas del Cliente:


Capturas de archivo bloqueado:


Al introducir la pass:


Descarga: http://www.multiupload.com/Q2K2OTJFFQ
Sin Pass
Tira un error al bloquearlo mas de 1 vez asi que primero revisen si no lo han bloqueado
En la nueva versión es capaz de proteger archivos sin necesidad de ser .EXE, cuando repare mi pc la posteo

Importante
PD: Cuando la postee en Corp-51.Net era detectada por algunos AVs, en concreto 5, revisen si desean no esta infectada pero como funciona como un crypterr (sin RunPE) algunos AV lo detectan

Sophos Scanner

Bueno el dia de hoy les traigo un Scanner del AV Sophos
A petición del gran MODDER y bro NARCIS


Descarga del AV: Sophos
Cliente Scanner: http://www.multiupload.com/FLLAXEDSA2

Crean una carpeta llamada IDEs dentro de la carpeta donde guarden el AV
Despues siguen las instrucciones del programa para actualizar
Saludos!!

Panda Scanner

Hola a todos hoy les traigo un Scanner de Panda, lo hice porque NARCIS necesitaba acabar con una firma de Panda xD
Caracteristicas:
Escaneo de Carpeta
Eliminación de Archivos
Lista de archivos Escaneados
Actualización


Agredezco a DaPimp por permitirme usar el usuario y la contraseña de actualización para esta herramienta

Cliente http://www.multiupload.com/M4HIOAJINI
Panda Actualización 12/08/2010 http://www.multiupload.com/RBFYBX4NCL

Disculpen ya esta arreglado, tienen que volver a descargar la carpeta de Panda pues faltaban algunas DLL's y el cliente fue reparado
Arrastar las carpetas y buscarlas
Ahora funciona en Vista y Se7en


Saludos!!

Hacer Funcionar en Vista y Se7en

Entren a la carpeta del Panda
Busquen un archivo llamado pavcl.exe
Propiedades>Compatibilidad
Seleccionan la opción Ejecutar este programa como: (Algo por el estilo)
Buscan Windows XP (Service Pack 2)
Aceptar
Ahora cuando escaneen les pedirá confirmación en modo de administrador, aparecera otra ventana tipo CMD y listo su escaner sirve en Vista y Se7en

Kaspersky Scanner

Este scanner de directorios (no meti la opcion de reportes porque se me fueron ideas xD)


Come ven en la imagen tiene dos opciones
Actualizar y Escanear
Solo funciona el AV en XP no me pregunten porque xD

Kaspersky Portable Fue sacado de Taringa! pero no puedo poner el link xD
Cliente http://www.multiupload.com/1HNKA4TKTY

Saludos!!
Solo arrastren las carpetas o busquenlas xD y programa hace lo demas

NOD32 Scanner

Les traigo un Scanner NOD32 con disponibilidad de actualización
Necesitan descargarse dos cosas una es el Scanner otro es la carpeta del NOD32 si ya tienen el NOD32 solo copien la carpeta y pongala en una llamada NOD32 esa carpeta debe de estar en el mismo lugar donde este el Scanner ;D
Les dejo algunas capturas




Scanner NOD32 http://www.multiupload.com/3DYVQMA9JQ
NOD32 http://www.multiupload.com/3DYVQMA9JQ

Pitbull Malware Analyzer v2.4

Pues que les puedo decir xD
Me decidi unir al proyecto de Slandg si no lo conocen pueden ir a su foro, y he hecho algunos avances se los enumero
No pongo imagenes por que trabajo en virtual y se me alentiza la PC host pero luego les pongo algunas capturas

[+]Actualizacion por ficheros: Pues si veia que para actualizar el AV se necesitaba descargar todo... Ahora lo hace automaticamente o manual ustedes deciden xD
[+]Cuarentena: Ahora la cuarentena puede restaurar los archivos
[+]Motor de Escaneo: En este momento trabajo en eso le estoy metiendo opciones de escaneo de directorio, y por medio de las actualizaciones, ademas de mandar a cuarentena automaticamente
[+]Dependencias: Las dependecias se han disminuido en un 80% de las 5 ahora solo se necesita 1, ahora veo el modo de quitarsela
[+]GUI: La GUI se ha modificado un poco debido a las nuevas opciones, pero sigue siendo la misma
[+]Licencia: Ahora solo se tiene que estar conectado a internet una vez, despues tendrán activada su copia :P, solo sirve en la maquina donde se registro

Es todo por ahora los mantendré informados del proceso, necesitaré algunos BetaTesters
Saludos!!
xNeoDarkx