Archives du mot-clé Tools

FLOSS : trouver des chaines de caractères cachées dans un exécutable

Pour trouver des chaines de caractères cachées dans un exécutable (obfusquées) on peut espérer que les auteurs du binaire ont utilisé un simple XOR et compter sur les outils XORsearch / XORstrings de Didier Stevens.

Mais pour des stackstrings (chaines écrites octet par octet en mémoire) ou des astuces encore plus farfelues il n’y avait pas de solution miracle jusqu’à l’arrivée de FireEye Labs Obfuscated String Solver (FLOSS).

Cet outil pousse le bouchon plus loin (n’est-ce pas Maurice!) en désassemblant et émulant le programme.
C’est écrit en Python mais un exe Windows existe pour les feignasses et le tout est dispo sur Github.

2 distribs de pentesting : Parrot Security OS et ArchStrike

On connait bien les Kali Linux et Pentoo mais d’autres distributions Linux de sécurité existent. En voici deux supplémentaires à découvrir.

C’est le cas de Parrot Security OS, une distribution téléchargeable en dur ou utilisable dans une version cloud.
Des VPS pré-installés sont aussi vendus pour 8 euros par mois.

L’autre distribution c’est ArchStrike, anciennement ArchAssault.
Basé évidemment sur ArchLinux, elle dispose d’un sacré arsenal d’outils de sécurité.
Site officiel : archstrike.org

maybe : surveiller les actions d’un programme sous Linux

Maybe est un outil basé sur la librairie python-ptrace.

Il intercepte les syscalls liés aux accès fichiers pour déterminer l’activité du programme et les annule en même temps (les actions n’ont pas réellement lieu mais la valeur de retour est modifiée pour faire croire au programme que ça fonctionne).

Evidemment il convient malgré tout de faire tourner maybe et le programme analysé (s’il est potentiellement malveillant) dans une machine virtuelle.