MISC 34 is out

novembre 3rd, 2007 at 04:11 admin

OMG le dernier Misc avec mon article vient de sortir !! J’ai couru comme un sprinteur chinois en fauteuil roulant doppé aux chocapicz pour le montrer à mes parents qui au final … n’ont rien comprit :’( Encore une démonstration des effets de la brèche inter-génération au niveau des nouvelles technologies. Peut-être que dans une dimension parallèle ce genre d’effet de bord n’existe pas, je vais essayer de me construire ma propre Stargate pour avoir des zolis effets trou-de-verre spatio-temporel à la Sliders, avec un peu de chance je tomberais dans une dimension ou les hommes ne servent que de geek reproducteur.

Mais je m’égare, je m’égare, surement parce que je me suis couché à 3h du matin après une partie de ra3 all regroup bump a railé des asticots paraplégiques. Anyway, pour avoir vu le mag un peu avant sa sortie, je peux vous dire que le dossier principal « Noyau et rootkit », pour tout ceux qui aiment trafiquer leur kernel à 2h du mat, c’est de la balle !

Les articles de Julien Tinnes et de Stéphane Duverger, « Exploitation au coeur de linux » et celui de Eric Lacombe & Kad, « Les rootkits sous Linux : passé, présent et futur » sont vraiment super (je ne les ai pas encore lu en détail, je n’aime pas trop l’OS des barbus), c’est assez technique en plus, faut s’accrocher parfois. Par contre on voit bien que les linuxiens ne savent pas faire des schémas, Visio c’est bien quand même ;)

Concernant mon article, « Windows NDIS rootkit Bl4me », il présente un ensemble de techniques visant à contourner au niveau kernel les firewalls sous Windows de la manière, la plus furtive possible. J’ai essayé, pour une fois, d’être le plus clair possible dans mes explications. Même si je reconnais qu’il y a des passages hardcore qui vont vous décrocher le cerveau. Je vous laisse apprécier et j’espère retrouver vos avis sur mon blog. Une pensée pour ce pauvre j0rn qui m’a aidé a corriger une bonne partie des fautes … depuis, il est devenu accro au minigolf …

Entry Filed under: C:

11 Comments

  • 1. texane  |  novembre 3rd, 2007 at 16:35

    lu, pas mal ton article sur ndis. dommage que ca manque un peu de vista/ndis6.0. Comme tu dis les principes restent applicables ‘en gros’, mais ils ont change pas mal de choses et quand t essaies de hooker les routines relatives aux send/recv de NET_BUFFER ca part vite en live. Des trucs comme la tronche des open block restent environ les memes, avec des grosse extensions. Sinon ce que tu dis concernant la furtivite c’est vrai, et ca va le rester sous vista quand tu vois Windows Filtering Plateform.


  • 2. mxatone  |  novembre 3rd, 2007 at 18:15

    A noté que je suis en greetz, ce qui fait de moi une p0rno star ;) !

    J’espère que mes comments (bien relous) t’ont aidé pour ton article en tout cas je le trouve très intéressant, gratz mec.


  • 3. newsoft  |  novembre 3rd, 2007 at 20:36

    Que vois-je, un commentateur qui prononce le mot « Vista » sur ce blog ? Copain !

    Sinon pour MISC, comme d’habitude, je vais devoir l’acheter car il arrive avec 3-4 jours de retard dans l’abonnement ;(


  • 4. Fred R.  |  novembre 4th, 2007 at 03:55

    @newsoft: c’est parce que tu as un abonnement spécial. À force de jouer les radins en truandant à securitech (pardon, pas truander, mais exploiter les stagiaires et autres jeunes) pour gagner un abonnement … tu as le droit à n traitement de faveur ;-) D’ailleurs, pense à renouveler ton abonnement surtout, parce que le dernier challenge datant d’il y a plus d’un an, c’est normal que tu ne le recoives plus … ;-)

    @ivan: mais oui, il est bien ton article. Et c’est vrai que le dossier est hardcore cette fois, sans doute un des « pires ». Mais bon, de tps en tps, il faut aussi se taper des trucs comme ça pour avancer. C’est que quand on le fait tout le temps qu’on finit comme toi à bouffer des chocapics à longueur de journée …


  • 5. Deimos  |  novembre 4th, 2007 at 19:52

    yo, sympa de voir qu’un de tes articles est publié dans MISC, ya de quoi être fier =) je le lirai à tête reposée ce week-end ( je pense qu’il vaut mieux … étant donné que je suis pas un windows kernel addict .. et que c’est toi l’auteur de l’article ;p )


  • 6. Dora  |  novembre 4th, 2007 at 21:28

    Pfff ca se lance des fleurs ici ! Je te donnerais mon babouch quand tu reussiras a casser « Transnistrie » dans MISC !


  • 7. Taron  |  novembre 4th, 2007 at 21:42

    putain les gars ils sont hard core vos blogs !


  • 8. Pierre  |  novembre 4th, 2007 at 23:47

    @newsoft: tu vas faire comment pr l’abo MISC sans l’édition 07 de SecuriTech ? ;-) Les stagiaires, tu les as deja


  • 9. marc  |  novembre 7th, 2007 at 09:46

    Je remercie J0rn, que son nom et son travail de bénédictin soient bénis par une couche de Masm 1.2 jusqu’à la 5eme génération.

    Et au passage, je compati avec les parents d’Ivan dont la réaction doit être équivalente à celle de ma chère maman lorsque je tente de lui expliquer certaines choses. Et pourtant, mes choses à moi, c’est comme du petit-lait comparé à de la morphine base à coté des Ivan-le-foleries

    A part çà, je partage l’idée de Texane . Ca aurait pu apporter de l’eau au moulin de News0ft


  • 10. martin  |  novembre 8th, 2007 at 07:43

    Tres bon article.

    Tu pouvais aussi mentionner les fastio pour le filtre FS. C’est une partie difficile a implementer correctement car jusqu’a recemment peut documente par MS. La detection du driver peut se reveler a se niveau.
    Les streams NTFS commencent a etre bien connu, on peut utiliser le filtre FS pour cacher le rootkit dans un fichier anonyme.

    On peut aussi citer le reassemblage de paquets reseaux avec offset de payload negatifs une autre methode pour echapper aux ids sans driver, …
    Bon c’est comme du code on peut tjrs ameliorer a l’infinie.


  • 11. Ben  |  novembre 10th, 2007 at 05:30

    Très bon article, merci beaucoup Ivan’


Trackback this post


Calendar

mars 2024
L Ma Me J V S D
« fév    
 123
45678910
11121314151617
18192021222324
25262728293031

Most Recent Posts