Hey dude, veja as "definições":

White, Grey e Black Hat | Linha Defensiva

Existem vários links sobre isso, alguns nem falam a mesma língua, assunto enfadonho, mas dá uma lida no link que eu passei, já que você está curioso .

Teoria da conspiração...

DA REPORTAGEM

"[I]....os maiores fabricantes de antivírus do mundo[/i], afirma Richard Paul Lisson, ex-programador de uma
conceituada empresa norte americana. Ele afirma que as maiores empresas desenvolvedoras de SoftWares contra as pragas virtuais, criam ou fazem mutações de pragas já existentes e soltam no mercado 45/60 dias antes das atualizações para [i]"apavorar"[i] os internautas. Conforme relato de Richard, centenas de especialistas programadores erradicados no mundo contratados pelas empresas, são pagos para desenvolverem ou mudarem os códigos para alimentar a indústria de antivírus.... [i]" Esses programadores trabalham dia e noite em várias partes do mundo para essa finalidade, só o primeiro escalão sabem que são, a equipe interna da empresa, acredita que a maioria dos códigos venham da Rússia, Afeganistão, Alemanhã e Iraque" , afirma."


Vai saber....


Shalom

Lord Enigm@

Olá,

Na H2HC do ano passado eu fiz uma apresentação sobre técnicas de evasão em AV, os slides estão disponíveis aqui:

http://www.h2hc.com.br/repositorio/2007/wendel.pdf

Quem esteve no H2HC viu a demonstração de evasão sendo feita em tempo real, contra 2 AVs famosos do mercado e sem nenhuma detecção na VirusTotal.

Sobre o que é BlackHat:

Hacker - Wikipédia, a enciclopédia livre
Hacker - Wikipédia, a enciclopédia livre

Abraços,

---

Wendel Guglielmetti Henrique - a.k.a dum_dum
http://www.h2hc.com.br - Hackers 2 Hackers Conference
http://ws.hackaholic.org - Página Pessoal

Eu vi e me amarrei! O que eu mais gostei foi da técnica bem simples de fatiar o arquivo até chegar ao ponto de se descobrir qual é a assinatura exata que um fabricante de AV procura. Isso deve rolar direto nos laboratórios dos fabricantes analisando a base de assinaturas da concorrência.

Não está nos slides, mas me parece que você falou que existem 16 (?!) maneiras diferentes de se matar um processo do Windows, e que só um anti-vírus (na época) estava preparado para identificar todas elas (eu testei e realmente o cara é bom, pena que ele peca de outras formas).

[]s, MM

---

OFF TOPIC:

A minha opiniao pessoal sobre o que seria um blackhat:
Antigamente (4 anos atras ) Seria algo como o mocinho e bandido. O whitehat hat era o tipo descobria a falha, ligava pro frabicante, faziam o patch etc. Bem com cara de bom samarinato. O blackhat era o oposto. Ambos com a mesma habilidade. Tipo Luke Skywalker e Darth Vader.

Mais hoje em dia, eu diria que a conotacao de Blackhat estah mais para "Hacker Come Quieto", "Hacker Terra de Cemiterio", etc. Mais naum que sao "Bad Guys".

Senao vejamos que a coferencia da blackhat eh frequentada por profissionais renomados, patrocinada por grandes empresas inclusive a microsoft. Muita coisa discutida lah so serah publicada daqui a 6 meses para publico em geral.

Os cara comem quietos e comem em dobro.

PS-> Eu particulamente acho que o lado negro pode ter seu "lado engraSSado".
YouTube - Darth Vader being a smartass

[s]
A.A.

Falando nisso...

Os scans On-line, eu ja usei...uso as vezes e tenho minhas duvidas quanto a sua eficacia....
Alguem ja usou tbm esse tipo de verificação?

Essas dúvidas são só suas ou você pode compartilhar aqui conosco?

[]s, MM

---

Opa...talvez pareça meio...toscas pros mais evoluidos na area..mas lembrem - se estou começando, lendo..tudo que posso..testando varias coisas em meus labs...

Enfim..

A Alguns dias atras, utilizei o proscan da Panda...que achou somente alguns cookies... não contente fui até o site da Trend Micro e utilizei seu scan online...que me apontou um trojan, e um Malware.. aonde qro chegar..

Quando esses scans começam eles geralmente ativam algum activeX, ou instalam alguma ferramenta em sua maquina (java em boa parte). Vamos dizer que em uma dessas instalações que eu esteja fazendo eu tenha um phishing nessa pagina e sem perceber ja esteja sendo hackeado, é possivel, ou esse tipo de tatica é explorada?

Ou de repente, numa dessas trocas de informação com o site de informcão durante o scan aconteça uma interceptação de pacote (lembrando que ja tive um trojan emminha maquina), isso torna-se um prato cheio para o possivel atacante?

Ou ainda se um desses sites sofrer um ataque do tipo Cross site scripting, eu certamente estaria entregando minha maquina ao potencial invasor?

Moderador, se for muita M$%#a vou entender se ficar de fora,....

Isto não é problema aqui no ISTF, fica à vontade .

Ninguém pode chegar aqui e dizer: "Instale tudo que for pedido no site do Kaspersky, já que é KasperLab, é seguro". Pois, não sabemos se essas ferramentas são "limpas".

Sobre ser enganado por Avs, dê uma olhada:

I hope that helps .

Eu li parte dessa matéria....vou falar que comecei a ficar meio paranóico.. ( isso é normal??rs)

mesmo com Spybot, que fica scaneando todos os processo mesmo com um firewall pessoal configurado...acho q ainda estou totalmente vulnetavel....digo isso pq estou começando a entender os exploits... começando a entender a ferramenta "Metasploit".. e um amigo meu me mandou um site.. com varios tipos de exploits... site esse q ja vi por aqui.

Bom ainda estou engatinhando na area... estou fazendo meus testes e ainda me deparando com varias duvidas e perguntas...enfim...acho q usar a frase "Minha maquina é segura" é complicado...

vlw

Você se refere ao meu post acima? No qual eu postei uma pequena notícia? Pois, existem apenas 5 linhas, se você leu apenas parte disso, aconselho você perder mais 15 segundos da sua vida e le r o resto né, não seja preguiçoso meu amigo =P.

Vulnetavel = Vulnerável? hehe

Amigo, simplesmente eu não estou entendendo a sua dúvida, eu juro que você escreveu que era sobre "scans online", porém, para a minha surpresa, você está falando sobre exploits, site que seu amigo te mandou o.0...

Olá,

Fala MM!

É verdade, existem várias formas de se finalizar ou até mesmo congelar um processo no Windows, na época da primeira apresentação (2 anos ago) existiam pelo menos 16, hoje com o advento de novas técnicas de carregamento de rootkits e publicação no meio especializado de API's e/ou parâmetro(s) oculto(s) do Windows, se pode adicionar pelo menos mais 4 variações a esse grupo. Fun, ahn?

Para quem ficou curioso e quiser testar, baixe o APT, ele não implementa todas as técnicas, mas já implementa a grande maioria. Yes, você vai ver como seu AV é ineficiente em se auto proteger.

Advanced Process Termination: Over a dozen ways to kill, suspend and even crash processes

Obs.: Alguns AV's detectam o APT como programa hostil e não permitem sua execução, justamente por saberem que podem ser finalizados, para isto, basta utilizar algum dos outros métodos mostrados na apresentação para fazer evasão do mesmo e finalizar o AV.

Não sei se é isso que você perguntou, mas a sua taxa de detecção pode ser (e quase sempre é) inferior ao mesmo AV rodando na máquina. Isso ocorre porque nesses sites (ex.: VirusTotal) o AV é disparado contra o binário em momento de NÃO execução, dessa forma, toda parte de detecção por comportamento hostil, análise de processos em execução, etc não são aplicadas.

Por isso, é comum vermos um arquivo que quando passado em algum "packer" não é detectado por esse tipo de site, mas quando executado em uma máquina com um AV instalado (com a feature de "real-time detection" habilitada - sim, tem vários outros nomes utilizados para essa mesma feature) o mesmo é detectado.

Vale lembrar que existem "Packers" e "packers", "Técnicas" e "técnicas".

Abraços,

---

Wendel Guglielmetti Henrique - a.k.a dum_dum
http://www.h2hc.com.br - Hackers 2 Hackers Conference
http://ws.hackaholic.org - Página Pessoal

Dica interessante, obrigado!

O VirusTotal indicou 7 anti-vírus (hoje, até mês passado eram 8) que identificam esse cara como perigoso:
Virustotal. MD5: 4f09299c223f5123f4f9e61401908daa W32/Injector.A.gen!Eldorado Win32:Trojan-gen {Other} W32/Injector.A.gen!Eldorado

[]s, MM

---

Acho q falta um pouco mais de humildade em alguns usuarios, caso esse seja um forum voltado para a lingua portuguesa, e que tenha como moderador nosso grande Pasquale, vou entender o pq as pessoas apontam erros insignificantes, ou por um erro ao bater nas teclas.

Quanto a matéria, não eu não li somente as poucas linhas q escreveu, ja que sei que a fonte da noticia e nemo descobridor de algo foi vc, no entanto vale lembrar que antes de tentar se perfazer entenda que mesmo estando a frente ( e nem sei se tão a frente assim) na area de SI, existem pessoas que pesquisam antes de ler suas miseras 5 linhas...

Quanto ao exploit...e o site...que falei... espero que deixe de ser preguiçoso.. e procure alguns que trabalham na vulnerabilidade dos AVs....não tente ser mais que ninguem... ja que vivemos em um mundo que gira "meu amigo"

MM sei que vc é o moderador...se não quiser publicar, peço somente que o "ganso" tome conhecimento do que escrito aki...

granso e rbsfranco,

Antes de enviar mensagens para o fórum, certifiquem-se de que o conteúdo digitado é (ou pode vir a ser) de interesse de outros usuários, considerando os temas que nos propusemos a discutir aqui no ISTF. Discussões como esta, cujo interesse está restrito apenas aos participantes do diálogo, devem ser feitas via sistema de recados.

As suas mensagens foram liberadas da fila de moderação e esta minha mensagem foi enviada publicamente (e não apenas para vocês dois) unicamente para exemplificar mensagens que não serão mais aceitas no fórum.

[]s, MM

---