Didier Stevens, znany głównie z wyszukiwania luk w formacie PDF, stworzył wyszukiwarkę w Pythonie dla VirusTotal, która po hashu pliku, wyszukuje stare raporty.
http://blog.didierstevens.com/2012/05/30/update-virustotal-search/
http://blog.didierstevens.com/2012/05/21/searching-with-virustotal/
Przy okazji warto wspomnieć o starym narzędziu do wysyłania plików do VirusTotal bezpośrednio z środowiska Windows stworzonym przez Gynvaela Coldwinda.
Gynvael Coldwind opisał ciekawy przypadek wykorzystania współdzielonych sekcji DLL bibliotek Cygwin do uzyskania praw administratora.
„Revisiting DLL shared sections. Cygwin vulnerability”
Artykuł przedstawiający obejście ograniczeń co do tworzenia zdalnych wątków w obcych procesach w systemie Windows 7, w którym wprowadzono dodatkowe ograniczenia w stosunku do starszych wersji Windows.
„CreateRemoteThread. Bypass Windows 7 Session Separation”
http://syprog.blogspot.com/2012/05/createremotethread-bypass-windows.html
Na blogu rev3rsed ukazało się nowe crackme:
Oryginalny link do cm:
http://www.speedyshare.com/m4v9k/crackme-2k12.exe
Lokalna kopia:
https://www.secnews.pl/wp-content/uploads/2012/05/crackme_2k12.zip
Hasło „google false positive detection”
Zachęcamy wszystkich do analizy.
Szczegółowa analiza wirusa sKyWIper aka „Flame”
.netshrink to kompresor (tzw. exe-packer) aplikacji .NET-owych, wykorzystujący kompresję LZMA
.netshrink to także DLL binder pozwalający scalić aplikację oraz jej dodatkowe moduły DLL do jednego pliku EXE:
Ostatnie zmiany:
v2.3
v2.2
Strona domowa:
https://www.pelock.com/products/netshrink
Wersje demonstracyjną można ściągnąć z:
Setup:
https://www.pelock.com/download/netshrink.exe (713 kB)
Archiwum zip:
https://www.pelock.com/download/netshrink.zip (427 kB)