Chercher :
Newsletter :  

Revues :
- Presse
- Presse FR
- Vidéos
- Twitter
- Secuobs





Sponsors :

Sommaires :
- Tendances
- Failles
- Virus
- Concours
- Reportages
- Acteurs
- Outils
- Breves
- Infrastructures
- Livres
- Tutoriels
- Interviews
- Podcasts
- Communiques
- Commentaires


Revue Presse:
- Tous
- Francophone
- Par mot clé
- Par site
- Le tagwall


Top bi-hebdo:
- Ensemble
- Articles
- Revue
- Videos
- Twitter
- Auteurs


Articles :
- Par mot clé
- Par auteur
- Par organisme
- Le tagwall


Videos :
- Toutes
- Par mot clé
- Par site
- Le tagwall


Twitter :
- Tous
- Par mot clé
- Par compte
- Le tagwall


Commentaires :
- Breves
- Virus
- Failles
- Outils
- Tutoriels
- Tendances
- Acteurs
- Reportages
- Infrastructures
- Interviews
- Concours
- Livres
- Communiques


Secumail :
- Secunia
- Full Disclosure
- Bugtraq
- DailyDave
- Vulnwatch
- Vulndiscuss
- FunSec
- Focus-IDS
- WebAppSec
- Security-Basis


RSS/XML :
- Articles
- Brèves
- Commentaires
- Revue
- Revue FR
- Videos
- Twitter
- Secunia
- Full Disclosure
- Bugtraq
- DailyDave
- Vulnwatch
- Vulndiscuss
- FunSec
- Focus-IDS
- WebAppSec
- Security-Basis


RSS SecuObs :
- sécurité
- exploit
- windows
- microsoft
- réseau
- attaque


RSS Revue :
- security
- microsoft
- windows
- hacker
- attack
- network


RSS Videos :
- vmware
- security
- virus
- biometric
- windows
- lockpicking


RSS Twitter :
- security
- linux
- botnet
- attack
- metasploit
- cisco


RSS Comments :
- Breves
- Virus
- Failles
- Outils
- Tutoriels
- Tendances
- Acteurs
- Reportages
- Infrastructures
- Interviews
- Concours
- Livres
- Communiques


RSS OPML :
- Français
- International











Revue de presse francophone :
- La Loi Informatique et Libertés à bout de souffle
- Les PME recourent de plus en plus aux services hébergés, selon Microsoft
- Hausse de 78 pourcents des malwares en 2009, selon le rapport de sécurité G Data
- Le marché des mobiles en entreprise, extensible aux pays émergents
- L art de formater à bas niveau un utilisateur 2.0
- Cisco ASA, Secure Desktop Cross Site Scripting
- Des réseaux sociaux plus confidentiels via une gestion distribuée
- L art de formater à bas niveau un utilisateur 2.0, suite
- Un navigateur peut en cacher un autre
- Windows vulnérabilités du codec Indeo
- WordPad, Word exécution de code via Word 97
- Microsoft Project exécution de code
- Windows deux vulnérabilités d'ADFS
- L'Ecole Nationale de la Magistrature opte pour la virtualisation de son SI avec DataCore-VMware et un PRA, déjà testé et éprouvé
- YouTube - PowerLabs Railgun 3 100KJ Railgun Shots with metal armatures.

Dernier articles de SecuObs :
- rWeb v4: Une nouvelle version aux multiples innovations
- Une attaque contre l’algorithme A5/3
- Avis d’avalanche de 0days chez Intevydis
- Management de la sécurité de l’information et implémentation ISO 27001
- Preuve de concept pour contourner les restrictions d'accès DMA via l'exploitation d'une vulnérabilité d'Intel TXT
- Des millions de XSS dans les clicktags
- WPA Cracker un cluster en ligne de 400 CPU et un dictionnaire de 135 millions d'entrées pour casser, ou pas, WPA/WPA2-PSK en 20 minutes
- Le plug-in IDADWARF remporte le concours organisé par HexRays
- Les imprimantes réseau, toujours un maillon faible de la sécurité informatique
- Nessus 4.2, une nouvelle interface Web en Flash, des performances améliorées et l'analyse différentielle des rapports d'audit

Revue de presse internationale :
- NSA To Aid Google In Chinese State Sponsored Intrusion Investigation
- Sherffius The Moon
- Final Apache HTTP Server 1.3 Series Release
- What Third Parties Know About John Doe
- JoyPopGuideDlg.exe
- cpa_1.exe
- Bifrost virus Serverc.exe, eset Serials.exe
- endivide.exe
- Nook hitting brick mortar, Apple Store updating
- Political hacktivism and the exploitation of tragedies is on the rise
- Nl Notary puts clients passports online
- Woman worms into D.C. taxpayer accounts
- Za Hijacked IDs are fuelling spending sprees
- McAfee Labs Q4 Threat Report
- fipsForum v2.6 Remote Database Disclosure Vulnerability

Annuaire des videos
- TitanEngine 2 0 3 Python SDK
- When Web 2 0 Attacks
- Weld County Atlas E Missile Silo Site Tour
- Windows Vista 2008 7 SMB2 DOS flaw CVE 2009 3103
- Exploits Part 1 mov
- Installing Backtrack 4
- VMware Fusion 2 Beta Feature Demo
- How to Install Computer Memory in an Apple Mac Pro
- Metasploit Post Exploitation Meterpreter Script Prefetchtool
- Vsphere within VMware Workstation 7 Part 1
- GNU Radio with Audio Recognition
- HNNCast020510 News mov
- AVG 9 0 free edition review
- HACKTHEPLANET 4 ettercap 1 4
- HNNCast020510 Quickies mov

Revue Twitter
- ShmooCon | Your iPhone's Dirty Little Security Secret - http://tinyurl.com/ylmagnc
- Sweden Probing Cisco, NASA Hacks - http://tinyurl.com/ykpy52j
- It is more about engineering vs. art than replacing people: Technology as a Substitute for the IT Security Pro http://ow.ly/15b9g
- Sweden to prosecute alleged Cisco, NASA hacker: http://tinyurl.com/ykpap6z
- RT @Paterva Maltego 3 beta blog - http://maltego.blogspot.com/ is online. See progress on Maltego 3 as it happens
- Python tools for pen testers - http://dirk-loss.de/python-tools.htm
- Java Decompiler - Yet another fast Java decompiler http://java.decompiler.free.fr
- conficker-usd-250000-reward : http://jumbiewatch.blogspot.com/2010/02/conficker-usd-250000-reward.html
- The RFID Record Player Is a Real World Cover Flow - RFID record ...: I like this idea by Matt Brown: He tags 45rpm... http://bit.ly/9CZZUw
- IMEC Showcases Dual-Gate-Based Organic RFID Chip with Record Performance: At today's International Solid State Cir... http://bit.ly/9pgwb5

Mini-Tagwall
Revue de presse : security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone

+ de mots clés pour la revue de presse

Annuaires des videos : vmware, security, virus, biometric, windows, lockpicking, password, metasploit, botnet, tutorial, crypt, attack, linux

+ de mots clés pour les videos

Revue Twitter : security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall

+ de mots clés pour la revue Twitter



Top bi-hebdo des articles de SecuObs
- Apprendre à parler Skype pour mieux le faire taire !
- WPA Cracker un cluster en ligne de 400 CPU et un dictionnaire de 135 millions d'entrées pour casser, ou pas, WPA/WPA2-PSK en 20 minutes
- rWeb v4: Une nouvelle version aux multiples innovations
- Les imprimantes réseau, toujours un maillon faible de la sécurité informatique
- Nessus 4.2, une nouvelle interface Web en Flash, des performances améliorées et l'analyse différentielle des rapports d'audit
- La sécurité des clés USB mise à mal par USBDUMPER
- Comment changer un mot de passe perdu pour un compte WINDOWS
- Management de la sécurité de l’information et implémentation ISO 27001
- Une attaque contre l’algorithme A5/3
- [Metasploit 2.x – Partie 1] Introduction et présentation

Top bi-hebdo de la revue de presse
- FREE Kaspersky Internet Security 2010 Activation Code Valid for 6 Months
- The Automation Labs Facebook security scare
- installer backtrack 4 [tuto]
- Nouveau dictionnaire WPA Livebox
- Dev Team Confirms iPhone 3.1.3 IPSW Jailbreak
- iWep PRO v1.0.8 Released
- BitDefender met à  disposition un outil de désinfection gratuit contre Zimuse
- New Cydia Repository and iWep PRO v1.0.9
- iWep PRO 1.1.0 Released
- Vente d outils d espionnage

Top bi-hebdo de l'annuaire des videos
- Install mod security on ubuntu 9.04
- Cain and Abel Network SNiffer Tutorial
- Howto Cain Abel Tutorial Passw rter auf LAN Partys zocken
- Exploit REALVNC 4.1.1 Saelyx
- Installing spoonwep and spoonwpa
- DNS Spoofing + Arp poisoning www.sitehackers.com.br
- Wireshark Tutorial Part 2
- How to create a SNORT rule and test it.
- install MacOSX Snow Leopard in Windows PC using Vmware Workstation as virtual machine
- Ch0ry Euro iPhone 3G 3GS 30 Hack WIFI key

Top bi-hebdo de la revue Twitter
- OMG. Booting BackTrack in printer device :Q___ -- http://tinyurl.com/y9xfhh6
- XSS/SQLi BARCODE CHEATSHEET: Fr PDC mailing list thought @rybolov @jack_mannino would b interested in. http://bit.ly/cWQoZi
- New Whitepaper: 6 mo of Botnets - Trends, Observations, and Geographical Links as HTTP CCs double http://bit.ly/axw4sS
- TTYtter 0.9.11 now avail in BackTrack4 Repository.
- NetBIOS spoofing: [link] http://bit.ly/9sVTRc
- RT: @RSnake Looks like my previous list made it into Nikto http://trac2.assembla.com/Nikto_2/ticket/119 w00t!
- RT @securityshell Your browser history can be sniffed with just 64 lines of Python (tested with Firefox 3.5.3 http://tinyurl.com/yl9vrlj
- JavaScript implementation of Shamir's Secure Secret Sharing scheme: http://tinyurl.com/ycszjj8 #security
- Google offering a Public DNS? wow why am i concerned about it? hmmm http://bit.ly/4ovCFI
- Another fake OpenSSH remote root exploit (source http://tinyurl.com/yhtugwc) - hexdump - http://tinyurl.com/ykejgfk

Top des articles les plus commentés
- [Metasploit 2.x – Partie 1] Introduction et présentation
- Microsoft !Exploitable un nouvel outil gratuit pour aider les développeurs à évaluer automatiquement les risques
- Webshag, un outil d'audit de serveur web
- CAINE un Live[CD|USB] pour faciliter la recherche légale de preuves numériques de compromission
- Les navigateurs internet, des mini-systèmes d’exploitation hors de contrôle ?
- [Renforcement des fonctions de sécurité du noyau Linux – Partie 1] Présentation
- Nessus 4.0 placé sous le signe de la performance, de l'unification et de la personnalisation
- Microsoft Gazelle, mini-OS virtuel basé sur MashupOS pour une navigation Web sécurisée par isolation
- Yellowsn0w un utilitaire de déblocage SIM pour le firmware 2.2 des Iphone 3G
- [Hacking Hardware - Partie 1] - Introduction et présentation

Tendances
Les derniers commentaires publiés sur SecuObs (1-5):
- ESRT @netsparker @jeremiahg - Scanner Review Vendors begin responding: HP Web
- ESRT @dloss - Python tools for penetration testers
- ESRT @sagar38 @laramies @matalaz - Pyew A Python tool to analyze malware
- synspam 0.4.0-1
- sipwitch 0.7.0

English version with Google Translate

Etat de l'art de l'autopsie d'intrusions dites "tout en mémoire"

Par Xavier Poli, secuobs.com
Le 02/07/2007


Résumé : Nicolas Ruff propose, lors de l'édition 2007 du SSTIC, un tour d'horizon des solutions de forensic utilisables suite aux intrusions dites "tout en mémoire". Ces attaques sont de plus en plus répandues, notamment via l'utilisation de l'outil Meterpreter qui fait partie de la plateforme d'exploitation libre Metasploit. - Lire l'article



Lors de la dernière édition du Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC - lien ) qui s'est déroulée à Rennes du 30 au 31 mai, Nicolas Ruff, chercheur en sécurité informatique travaillant pour la société EADS ( lien ), a réalisé une présentation ( lien ) sur l'autopsie d'une intrusion dite « tout en mémoire » pour les systèmes d'exploitation de la marque Microsoft Windows.

Les différentes techniques d'autopsie, ou forensic, consistent dans un premier temps à récupérer la totalité de la mémoire physique afin de l'analyser dans un second pour y trouver des preuves de l'intrusion. La problématique principale étant de se retrouver au final avec une image cohérente de la mémoire afin que l'on puisse l'exploiter lors de l'analyse ; différentes solutions de collecte de la mémoire physique sont abordées dans la présentation.

On retiendra notamment le couple dd/nc ( lien ) pour l'accès au périphérique \Device\PhysicalMemory dans le cas d'un système d'exploitation qui n'aura pas préalablement été configuré en vue du risque potentiel d'une intrusion de ce genre ; à noter que cet accès a été bloqué par Microsoft depuis la version Windows 2003 Server SP1 et que cette méthode reste relativement lente.

Outre les solutions matérielles avec l'acquisition de la mémoire via une carte PCI (non disponible actuellement sur le marché public) ou un FPGA en PCMCIA ( lien ), on notera également la possibilité de provoquer un crashdump via différentes techniques comme la double séquence clavier "Ctrl droit + ScrollLock" suivant l'activation d'une clé ( HKLM\SYSTEM\CurrentControlSet\Services\i8042prt\Parameters\CrashOnCtrl
Scroll ) de la base de registre ou bien encore l'utilisation de la console Emergency Management Service pour les systèmes d'exploitation Windows 2003 Server.

Une fois la mémoire collectée, la plupart des solutions d'analyse existantes actuellement, comme SleuthKit ( lien ) par exemple, propose une approche orientée vers les supports de stockage qui n'est pas particuliérement adaptée à ce type d'attaques ; elles peuvent être réalisées via un outil comme Meterpreter ( lien ) appartenant à la plateforme d'exploitation libre Metasploit ( lien ).

L'analyse, quant à elle, consiste dans un premier temps à reconstruire la mémoire virtuelle afin d'y retrouver ensuite des structures spécifiques comme la liste des processus par exemple ; des outils comme PTFinder ( lien ), MemParser ( lien ) ou Volatools ( lien ) sont disponibles à cet effet. Un exemple d'analyse, via les Microsoft Debugging Tool (WinDbg - lien ), d'une intrusion avec injection de DLL par Metasploit via Meterpreter est disponible dans l'article détaillé ( lien ).

Bien que ces intrusions ne soient pas vraiment les plus populaires actuellement, elles font cependant de plus en plus d'adeptes ; les outils disponibles pour les contrer n'en sont encore qu'à un stade relativement peu avancé en terme de fonctionnalités mais il y a fort à parier que cette problématique grandissante potentialise un futur marché florissant pour l'analyse du tout en mémoire.

La présentation de Nicolas Ruff ainsi que l'article détaillé sont disponibles en téléchargement sur le site des actes du SSTIC ( lien ).



- Article suivant : [Forensics - Partie 1] Introduction aux techniques forensics
- Article précédent : Des commandes non documentées dans les zones constructeurs des disques durs
- Article suivant dans la catégorie Tendances : Plus de 100 millions d’hôtes répondent présent sur internet
- Article précédent dans la catégorie Tendances : Deuxième édition du Microsoft Security Intelligence Report

Les derniers commentaires publiés pour cet article:
- ESRT @joedamato - New version of memprof available. It suppo ...
- scanmem v0.08 released including a GUI called GameConqueror ...
- ESRT @sansforensics - Volatility's Output Rendering Function ...
- ESRT @postmodern_mod3 @joedamato : Release of memprof, a Rub ...
- ESRT @obsequens Scammers scrape RAM for bank card data ...

Les derniers commentaires de la catégorie Tendances:
- ESRT @helpnetsecurity @lbhuston - Zero-day vulnerabilities o ...
- ESRT @emgent Fake OpenSSH remote root exploit hexdump ...
- Video : ESRT @kellepc - ShmooCon live via uStream ...
- libssh2-1.2.3.tar.gz ...
- Return Oriented Programming for the ARM Architecture Using R ...

Les derniers articles de la catégorie Tendances :
- Les attaques MALfi utilisées pour le déploiement de Botnets jetables à usage unique, une nette tendance pour la cybercriminalité
- Etude sur le coût des attaques par force brute à l aide du Cloud Amazon EC2 et d Elcomsoft Distributed Password Recovery
- Seulement 38% des PME dotées d’une charte d’utilisation de l’internet
- Symantec publie une étude sur les faux antivirus
- Les faux antivirus en pleine expansion
- La neutralité du réseau, pierre angulaire de l’Internet
- Le traçage de traître(s) pas aussi simple qu’il n’y paraît
- Le projet de loi HADOPI bientôt de retour à l assemblée
- Le projet de loi HADOPI échoue en fin de parcours
- La loi HADOPI, tête de pont du filtrage de l internet ?





Les derniers commentaires publiés sur SecuObs (6-25):
- Airdrop-ng Release
- GuruPlug, the next generation of SheevaPlug
- Anomos 0.9 Released Public Tracker Up and Running
- ESRT @IBMFedCyber - DECT crypto cracked academically
- Responder Professional 2.0, a Windows physical memory and automated malware a
- ESRT @Marsmensch @hdmoore - Metasploit supports owning insecure IIS WebDAV
- Added a small hack to ronin-ext, Ronin::Autoload: autoloads missing constants
- ESRT @proactivedefend - Iptables Limits Connections Per IP
- ESRT @EdiStrosar @spendergrsec - Linux 2618+ infoleak exploit added to Enligh
- ESRT @SecMailLists - Full Disclosure: XSS vulnerability in NEW orkut
- ESRT @helpnetsecurity @lbhuston - Zero-day vulnerabilities on the market
- ESRT @agar38 @achillean @theprez98 - SHODAN for Penetration Testers slides fr
- Video : ESRT @secdocs - Using OpenBSC for fuzzing of GSM handsets
- ESRT @helpnetsecurity - Configure Netfilter Shorewall 4.4.7 RC2 released
- PS3 hypervisor exploit reproduced
- Mozilla Removes Two Malicious Firefox Add-Ons
- Wrapping insecure web apps with Apache
- Oracle Patches Critical WebLogic Flaw
- Directory traversal as a reconnaissance tool
- Video : Scanning with the NetChk Configure NIST Policy


SecuToolBox :

Mini-Tagwall des articles publiés sur SecuObs :

Archives Failles Secunia :
- SA38414 Fedora update for gmime22
- SA38429 Debian update for squid and squid3
- SA38461 Ubuntu update for kernel
- SA38476 F5 Products TCP Implementation Denial of Service
- SA38377 Fedora update for dokuwiki

Archives Mailing Full Disclosure :
- Full-disclosure Claude Mercier/CLSC-CHSLD BVLV/Reg03/SSSS est absent(e).
- Re: Full-disclosure about jit and dep+aslr
- Re: Full-disclosure about jit and dep+aslr
- Re: Full-disclosure about jit and dep+aslr
- Re: Full-disclosure about jit and dep+aslr

Archives Mailing Bugtraq :
- CORELAN-10-010 - GeFest Web HomeServer v1.0 Remote Directory Traversal Vulnerability
- DSECRG-09-065 TVUPlayer PlayerOcx.ocx ActiveX - Insecure method
- mongoose Space Character Remote File Disclosure Vulnerability
- Suspected SpamVulnerability in Tagcloud for DataLife Engine
- Re: Multiple vulnerabilities in XAMPP (advisory #7)
- Re: Samba Remote Zero-Day Exploit

Mini-Tagwall de l'annuaire video :

Mini-Tagwall des articles de la revue de presse :

Mini-Tagwall des Tweets de la revue Twitter :