Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.

Chercher :
Newsletter :  


Revues :
- Presse
- Presse FR
- Vidéos
- Twitter
- Secuobs





Sommaires :
- Tendances
- Failles
- Virus
- Concours
- Reportages
- Acteurs
- Outils
- Breves
- Infrastructures
- Livres
- Tutoriels
- Interviews
- Podcasts
- Communiques
- USBsploit
- Commentaires


Revue Presse:
- Tous
- Francophone
- Par mot clé
- Par site
- Le tagwall


Top bi-hebdo:
- Ensemble
- Articles
- Revue
- Videos
- Twitter
- Auteurs


Articles :
- Par mot clé
- Par auteur
- Par organisme
- Le tagwall


Videos :
- Toutes
- Par mot clé
- Par site
- Le tagwall


Twitter :
- Tous
- Par mot clé
- Par compte
- Le tagwall


Commentaires :
- Breves
- Virus
- Failles
- Outils
- Tutoriels
- Tendances
- Acteurs
- Reportages
- Infrastructures
- Interviews
- Concours
- Livres
- Communiques


RSS/XML :
- Articles
- Commentaires
- Revue
- Revue FR
- Videos
- Twitter


RSS SecuObs :
- sécurité
- exploit
- windows
- attaque
- outil
- microsoft


RSS Revue :
- security
- microsoft
- windows
- hacker
- attack
- network


RSS Videos :
- curit
- security
- biomet
- metasploit
- biometric
- cking


RSS Twitter :
- security
- linux
- botnet
- attack
- metasploit
- cisco


RSS Comments :
- Breves
- Virus
- Failles
- Outils
- Tutoriels
- Tendances
- Acteurs
- Reportages
- Infrastructures
- Interviews
- Concours
- Livres
- Communiques


RSS OPML :
- Français
- International











Revue de presse francophone :
- Appaloosa AppDome nouent un partenariat pour accompagner les entreprises dans le déploiement et la protection des applications mobiles
- D-Link offre une avec un routeur VPN sans fil AC
- 19 mai Paris Petit-Déjeuner Coreye Développer son business à l'abri des cyberattaques
- POYNTING PRESENTE LA NOUVELLE ANTENNE OMNI-291, SPECIALE MILIEU MARITIME, CÔTIER ET MILIEU HUMIDE
- Flexera Software Les utilisateurs français de PC progressent dans l'application de correctifs logiciels, mais des défis de tailles subsistent
- Riverbed lance SD-WAN basé sur le cloud
- Fujitsu multi-récompensé VMware lui décerne plusieurs Partner Innovation Awards à l'occasion du Partner Leadership Summit
- Zscaler Private Access sécuriser l'accès à distance en supprimant les risques inhérents aux réseaux privés virtuels
- QNAP annonce la sortie de QTS 4.2.1
- Une enquête réalisée par la société de cyber sécurité F-Secure a décelé des milliers de vulnérabilités graves, potentiellement utilisables par des cyber criminels pour infiltrer l'infrastru
- Trouver le juste équilibre entre une infrastructure dédiée et cloud le dilemme de la distribution numérique
- 3 juin - Fleurance - Cybersécurité Territoires
- Cyber-assurances Seules 40 pourcents des entreprises françaises sont couvertes contre les violations de sécurité et les pertes de données
- Des étudiants de l'ESIEA inventent CheckMyHTTPS un logiciel qui vérifie que vos connexions WEB sécurisées ne sont pas interceptées
- Les produits OmniSwitch d'Alcatel-Lucent Enterprise ALE gagnent en sécurité pour lutter contre les cyber-attaques modernes

Dernier articles de SecuObs :
- DIP, solution de partage d'informations automatisée
- Sqreen, protection applicative intelligente de nouvelle génération
- Renaud Bidou (Deny All): "L'innovation dans le domaine des WAFs s'oriente vers plus de bon sens et d'intelligence, plus de flexibilité et plus d'ergonomie"
- Mises à jour en perspective pour le système Vigik
- Les russes ont-ils pwn le système AEGIS ?
- Le ministère de l'intérieur censure une conférence au Canada
- Saut d'air gap, audit de firmware et (in)sécurité mobile au programme de Cansecwest 2014
- GCHQ: Le JTRIG torpille Anonymous qui torpille le JTRIG (ou pas)
- #FIC2014: Entrée en territoire inconnu
- Le Sénat investit dans les monnaies virtuelles

Revue de presse internationale :
- VEHICLE CYBERSECURITY DOT and Industry Have Efforts Under Way, but DOT Needs to Define Its Role in Responding to a Real-world Attack
- Demand letter served on poll body over disastrous Comeleak breach
- The Minimin Aims To Be The Simplest Theremin
- Hacking group PLATINUM used Windows own patching system against it
- Hacker With Victims in 100 Nations Gets 7 Years in Prison
- HPR2018 How to make Komboucha Tea
- Circuit Bender Artist bends Fresnel Lens for Art
- FBI Director Suggests iPhone Hacking Method May Remain Secret
- 2016 Hack Miami Conference May 13-15, 2016
- 8-bit Video Wall Made From 160 Gaming Keyboards
- In An Era Of Decline, News Sites Can t Afford Poor Web Performance
- BeautifulPeople.com experiences data breach 1m affected
- Swedish Air Space Infringed, Aircraft Not Required
- Why cybercriminals attack healthcare more than any other industry
- Setting the Benchmark in the Network Security Forensics Industry

Annuaire des videos
- FUZZING ON LINE PART THREE
- Official Maltego tutorial 5 Writing your own transforms
- Official Maltego tutorial 6 Integrating with SQL DBs
- Official Maltego tutorial 3 Importing CSVs spreadsheets
- install zeus botnet
- Eloy Magalhaes
- Official Maltego tutorial 1 Google s websites
- Official Maltego tutorial 4 Social Networks
- Blind String SQL Injection
- backdoor linux root from r57 php shell VPS khg crew redc00de
- How To Attaque Pc With Back Track 5 In Arabique
- RSA Todd Schomburg talks about Roundup Ready lines available in 2013
- Nessus Diagnostics Troubleshooting
- Panda Security Vidcast Panda GateDefender Performa Parte 2 de 2
- MultiPyInjector Shellcode Injection

Revue Twitter
- RT @fpalumbo: Cisco consistently leading the way ? buys vCider to boost its distributed cloud vision #CiscoONE
- @mckeay Looks odd... not much to go on (prob some slideshow/vid app under Linux)
- [SuggestedReading] Using the HTML5 Fullscreen API for Phishing Attacks
- RT @BrianHonan: Our problems are not technical but cultural. OWASP top 10 has not changed over the years @joshcorman #RSAC
- RT @mikko: Wow. Apple kernels actually have a function called PE_i_can_has_debugger:
- [Blog Spam] Metasploit and PowerShell payloads
- PinkiePie Strikes Again, Compromises Google Chrome in Pwnium Contest at Hack in the Box: For the second time thi...
- @mikko @fslabs y'all wldn't happen to have lat/long data sets for other botnets, wld you? Doing some research (free/open info rls when done)
- RT @nickhacks: Want to crash a remote host running Snow Leopard? Just use: nmap -P0 -6 --script=targets-ipv6-multicast-mld #wishiwaskidding
- An inexpensive proxy service called is actually a front for #malware distribution -

Mini-Tagwall
Revue de presse : security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone

+ de mots clés pour la revue de presse

Annuaires des videos : curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit

+ de mots clés pour les videos

Revue Twitter : security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall

+ de mots clés pour la revue Twitter

Top bi-hebdo des articles de SecuObs
- [Ettercap – Partie 2] Ettercap par l'exemple - Man In the Middle et SSL sniffing
- [Infratech - release] version 0.6 de Bluetooth Stack Smasher
- [IDS Snort Windows – Partie 2] Installation et configuration
- [Infratech - vulnérabilité] Nouvelle version 0.8 de Bluetooth Stack Smasher
- Mises à jour en perspective pour le système Vigik
- USBDumper 2 nouvelle version nouvelles fonctions !
- EFIPW récupère automatiquement le mot de passe BIOS EFI des Macbook Pro avec processeurs Intel
- La sécurité des clés USB mise à mal par USBDUMPER
- Une faille critique de Firefox expose les utilisateurs de Tor Browser Bundle
- Installation sécurisée d'Apache Openssl, Php4, Mysql, Mod_ssl, Mod_rewrite, Mod_perl , Mod_security

Top bi-hebdo de la revue de presse
- StackScrambler and the Tale of a Packet Parsing Bug

Top bi-hebdo de l'annuaire des videos
- DC++ Botnet. How To DDos A Hub With Fake IPs.
- Comment creer un server botnet!!!!(Réseau de pc zombies)
- Defcon 14 Hard Drive Recovery Part 3

Top bi-hebdo de la revue Twitter
- RT @secureideas: I believe that all the XSS flaws announced are fixed in CVS. Will test again tomorrow if so, release 1.4.3. #BASESnort
- Currently, we do not support 100% of the advanced PDF features found in Adobe Reader... At least that's a good idea.
- VPN (google): German Foreign Office Selects Orange Business for Terrestrial Wide: Full
- @DisK0nn3cT Not really, mostly permission issues/info leak...they've had a couple of XSS vulns but nothing direct.
- Swatting phreaker swatted and heading to jail: A 19-year-old American has been sentenced to eleven years in pris..
- RT @fjserna You are not a true hacker if the calc.exe payload is not the scientific one... infosuck.org/0x0035.png

Top des articles les plus commentés
- [Metasploit 2.x – Partie 1] Introduction et présentation
- Microsoft !Exploitable un nouvel outil gratuit pour aider les développeurs à évaluer automatiquement les risques
- Webshag, un outil d'audit de serveur web
- Les navigateurs internet, des mini-systèmes d’exploitation hors de contrôle ?
- Yellowsn0w un utilitaire de déblocage SIM pour le firmware 2.2 des Iphone 3G
- CAINE un Live[CD|USB] pour faciliter la recherche légale de preuves numériques de compromission
- Nessus 4.0 placé sous le signe de la performance, de l'unification et de la personnalisation
- [Renforcement des fonctions de sécurité du noyau Linux – Partie 1] Présentation
- [IDS Snort Windows – Partie 1] Introduction aux IDS et à SNORT
- Origami pour forger, analyser et manipuler des fichiers PDF malicieux

Sur les traces du KLOG.

Si vous voulez bloquer ce service sur vos fils RSS
Si vous voulez nous contacter ou nous proposer un fil RSS

Menu > Articles de la revue de presse : - l'ensemble [tous | francophone] - par mots clé [tous] - par site [tous] - le tagwall [voir] - Top bi-hebdo de la revue de presse [Voir]

S'abonner au fil RSS global de la revue de presse



Sur les traces du KLOG.

Par 0vercl0k's blog.
Le [2009-06-02] à 14:34:51



Présentation : Bonjour à vous, Je vous propose aujourd?hui ma petite contribution régulière. Celle-ci traitera du principe du KLOG, un keylogger kernel programmé par Clandestiny. Dans cet article, nous allons parler un peu du « comment le KLOG opère t-il ? » afin de nous coder un petit driver perso pour mettre en pratique les choses que l?on vient d?apprendre. Je vous propose quelques outils pouvant être utile au cours du coding et de l?analyse du KLOG : - DeviceTree, peut être utile pour observer les devices créer par les drivers par exemple. - IrpTracker, un outil permettant de « tracker » les IRPs reçus par un device. Les outils en main, nous pouvons nous attaquer au fonctionnement de l?engin. Le KLOG dans la place Vous êtes maintenant préparer à suivre la suite de l?article. Pour mener à bien son fonctionnement le KLOG va attacher un filter device ( FiDO ) au dessus du device KeyboardClass0 créer par le driver Kbdclass. Le driver KbdClass à pour rôle de fournir une interface entre le sytème et le driver physique : ( Je cite ) The HID class driver does the following: Provides and manages the upper-level interface that kernel-mode drivers and user-mode applications use to access the HID collections that an input device supports. The HID class driver transparently manages and routes all communication between upper-level drivers and applications and the underlying input devices that support HID collections. It manages the different data protocols used by different input devices and input queues that support more than one open file on the same HID collection. (!!) The upper-level interface to HID collections consists of the HID class driver IOCTLs, the HIDClass support routines, and the HIDClass structures. Communicates with a HID minidriver by calling the minidriver's standard driver routines ? see Communicating with a HID Minidriver. Creates a functional device object (FDO) for HIDClass input devices enumerated by a lower-level bus or port driver. For example, the HID class driver creates and manages the operations of an FDO that represents a USB HID device enumerated by the system-supplied USB driver stack. Provides the functionality of a bus driver for the child devices (HID collections) supported by an underlying input device. The HID class driver creates a physical device object (PDO) for each HID collection supported by an input device and manges the collection's operation. (juste pour informations) Il faut aussi savoir que le device KeyboardClass0 est attaché au device anonyme du driver i8042prt. Le driver i8042prt est de type PDO (Pysical Device Object), il gère la gestion de la souris et du clavier. Le HID driver va crée un FDO (Functional Device Object) au dessus du PDO pour fournir une interface entre le sytème et le périphérique. Le KeyboardClass1 est un clavier virtuel, il ne nous intéresse pas du tout. Vu que tout le concept repose sur la device stack du driver, nous allons nous renseigner un peu plus sur celle-ci, sortons donc le kd. kd !devstack devicekeyboardclass0 !DevObj !DrvObj !DevExt ObjectName 816f53a0 DriverKbdclass 816f5458 KeyboardClass0 816f5588 Driveri8042prt 816f5640 817d2618 DriverACPI 817da2e8 00000043 !DevNode 81799948 : DeviceInst is "ACPIPNP03034et5289e18et0" ServiceName is "i8042prt" kd !drvobj DriverKbdclass 3 Driver object (816f5930) is for: DriverKbdclass Driver Extension List: (id , addr) Device Object list: 816d5030 816f53a0 q DriverEntry: f9d0f610 DriverStartIo: 00000000 DriverUnload: 00000000 AddDevice: f9d0eb02 Dispatch routines: [00] IRP_MJ_CREATE f9d0bdd8 +0xf9d0bdd8 [01] IRP_MJ_CREATE_NAMED_PIPE 805025e4 nt!IopInvalidDeviceRequest [02] IRP_MJ_CLOSE f9d0bfe8 +0xf9d0bfe8 [03] IRP_MJ_READ f9d0cc82 +0xf9d0cc82 [04] IRP_MJ_WRITE 805025e4 nt!IopInvalidDeviceRequest [05] IRP_MJ_QUERY_INFORMATION 805025e4 nt!IopInvalidDeviceRequest [06] IRP_MJ_SET_INFORMATION 805025e4 nt!IopInvalidDeviceRequest [07] IRP_MJ_QUERY_EA 805025e4 nt!IopInvalidDeviceRequest [08] IRP_MJ_SET_EA 805025e4 nt!IopInvalidDeviceRequest [09] IRP_MJ_FLUSH_BUFFERS f9d0bd50 +0xf9d0bd50 [0a] IRP_MJ_QUERY_VOLUME_INFORMATION 805025e4 nt!IopInvalidDeviceRequest [0b] IRP_MJ_SET_VOLUME_INFORMATION 805025e4 nt!IopInvalidDeviceRequest [0c] IRP_MJ_DIRECTORY_CONTROL 805025e4 nt!IopInvalidDeviceRequest [0d] IRP_MJ_FILE_SYSTEM_CONTROL 805025e4 nt!IopInvalidDeviceRequest [0e] IRP_MJ_DEVICE_CONTROL f9d0da44 +0xf9d0da44 [0f] IRP_MJ_INTERNAL_DEVICE_CONTROL f9d0d386 +0xf9d0d386 [10] IRP_MJ_SHUTDOWN 805025e4 nt!IopInvalidDeviceRequest [11] IRP_MJ_LOCK_CONTROL 805025e4 nt!IopInvalidDeviceRequest [12] IRP_MJ_CLEANUP f9d0bd0c +0xf9d0bd0c [13] IRP_MJ_CREATE_MAILSLOT 805025e4 nt!IopInvalidDeviceRequest [14] IRP_MJ_QUERY_SECURITY 805025e4 nt!IopInvalidDeviceRequest [15] IRP_MJ_SET_SECURITY 805025e4 nt!IopInvalidDeviceRequest [16] IRP_MJ_POWER f9d0e196 +0xf9d0e196 [17] IRP_MJ_SYSTEM_CONTROL f9d0d844 +0xf9d0d844 [18] IRP_MJ_DEVICE_CHANGE 805025e4 nt!IopInvalidDeviceRequest [19] IRP_MJ_QUERY_QUOTA 805025e4 nt!IopInvalidDeviceRequest [1a] IRP_MJ_SET_QUOTA 805025e4 nt!IopInvalidDeviceRequest [1b] IRP_MJ_PNP f9d0c798 +0xf9d0c798 kd !devobj 0x816d5030 Device object (816d5030) is for: KeyboardClass1 DriverKbdclass DriverObject 816f5930 Current Irp 00000000 RefCount 0 Type 0000000b Flags 00002044 Dacl e129e634 DevExt 816d50e8 DevObjExt 816d51c8 ExtensionFlags (0000000000) AttachedTo (Lower) 816d41e0 DriverTermDD Device queue is not busy. kd !devobj 0x816f53a0 Device object (816f53a0) is for: KeyboardClass0 DriverKbdclass DriverObject 816f5930 Current Irp 00000000 RefCount 0 Type 0000000b Flags 00002044 Dacl e129e634 DevExt 816f5458 DevObjExt 816f5538 ExtensionFlags (0000000000) AttachedTo (Lower) 816f5588 Driveri8042prt Device queue is not busy. Nous avons donc nos renseignements sur la device stack, ces infos sont bien sur aussi visibles grâce au programme DeviceTree. Notre device placé au dessus du KeyboardClass0, va donc recevoir les IRPs avant lui. C?est ici que tout se joue ! Nous allons mettre en place une « Completion Routine » qui sera appelé au retour de l?IRP, c?est-à-dire quand elle contiendra les informations ( les scancodes des touches ) délivré par le driver, le retour de l?IRP est provoqué par l?appel de la fonction IoCompleteRequest dans le driver KbdClass. Cette Completion routine va permettre de lire les IRPs et donc de récupérer les scancodes des touches. Cependant les personnes qui ont déjà étudiés le KLOG, savent que la tache de les écrire n?est pas si facile. En effet la fonction permettant l?écriture dans le fichier tourne à un IRQL différent, comprenez que écriture dans un fichier demande au système d?être dans un état non-interrompu. Bref pour nous on s?arrête là afin de coder un petit truc personnalisé.Mais Clandestiny gère ce problème en créant un thread kernel tournant à l?IRQL nécessaire. Je vous propose quelques schémas, les 2 premiers venus tout droit de mon imagination, et le dernier extrait du pdf fournis dans l?archive du KLOG : Nous avons donc toutes les clés en main pour coder un petit driver . Control your keyboard. Au cours de cette partie, notre but va être non pas de lire, mais de modifier les scancodes des lettres, afin de contrôler les touches.Le driver va renvoyé les scancodes de façon a écrire « overclok » quelque soit les touches tapées. Pour mener a bien notre projet, nous allons créer un device par le biais de la fonction IoCreateDevice(), puis l?attacher avec IoAttachDevice() sur DeviceKeyboardClass0. Petite précision pour le IoCreateDevice(), nous allons utilisé un de ces paramètres afin de faire transiter une structure personnalisée. En effet nous devons garder à l?esprit que les IRP doivent être envoyées au driver KbdClass, pour cela il faut connaître l?adresse du device DeviceKeyboardClass0, l?I/O Manager fournit pour chaque device une structure personnalisé appelée DeviceExtension permettant au programmeur d?y ajouter des infos. Dans notre cas nous allons donc juste avoir un champ avec à pointeur sur le device KeyboardClass0. Nous devons bien évidemment remplir le tableau MajorFunction pour handler des fonctions à appeler selon les IRPs reçus. Celles intéressantes sont les IRP_MJ_READ. Notre fonction qui sera appelée lors de la réception d?une telle IRP doit mettre en place la Completion Routine grâce à la fonction IoSetCompletionRoutine() puis nous « relayons » les IRPs au device d?en dessous. En ce qui concerne notre la Completion Routine c?est en quelque sorte le c?ur de notre driver, car en effet c?est ici que la modification ou la lecture des IRPs aura lieu. Pour ma part j?ai choisis d?aller remplacer les scancodes des touches de manière a former le mot « overclok » lors de l?appuie sur les touches de votre clavier. Un petit screenshot : Je vous propose aussi de lire un article rédigé par Ivanlef0u sur sa tentative de modification du KLOG. Il a modifié quelques petits trucs sur la version qu?il propose, à savoir le support des claviers français et le hidalgo du driver dans la PsLoadedModuleList. Voici le lien : - KLOG - http://www.ivanlef0u.tuxfamily.org/?p=17. A présent je vous propose mon petit code : - OwnzYourKeyboard.c. C?est finit pour aujourd?hui en espérant vous avoir divertis un petit peu, encore merci au personne qui m?ont aidé à la réalisation de cet article etc. PS : Je tiens aussi à passer un petit coup de pub pour des amis. Tout d'abord l'ouverture du site perso de shaka ou sevieron, un site internet rassemblant des écrits qui seront rédigés par lui même concernant de multiples domaines liés a l'informatique. Ensuite l'ouverture de deux blogs de deux autres personnes que j'apprécie beaucoup, il s'agit de KPCR et de santabug. En espérant que ces blogs et ce site seront tenus à jour par les auteurs, et que les articles apparaitront d'ici peu :). Bonne chance à vous, voici les liens ajouter à la blogrollz : - Shaka Web Site - http://shaka.n0ne.org/. - Santabug's blog - http://santabug.blogspot.com/. - KPCR's blog - http://kpcr.blogspot.com/. Cya.[]




AddThis Social Bookmark Widget



Les derniers articles du site "0vercl0k's blog." :

- Demenagement.
- API Hooking - IAT patching
- SetWindowsHookEx ou le hook 'facile' :.
- Ntdll ou la libraire cachée de windoz.
- h0l0c4ust ou l'illustration d'une technique utilisée dans les rootkits ring3.
- Ownz fucking PE ou Comment corrompre un binaire?
- Manipulate lsass.exe for fun and profit.
- Close a remote handle file.
- Les apis de debugs, c'est plus fort que toi.
- 3v1l 0r n0t ? - Part I.




S'abonner au fil RSS global de la revue de presse

Menu > Articles de la revue de presse : - l'ensemble [tous | francophone] - par mots clé [tous] - par site [tous] - le tagwall [voir] - Top bi-hebdo de la revue de presse [Voir]



Si vous voulez bloquer ce service sur vos fils RSS :
- avec iptables "iptables -A INPUT -s 88.191.75.173 --dport 80 -j DROP"
- avec ipfw et wipfw "ipfw add deny from 88.191.75.173 to any 80"
- Nous contacter par mail




SecuToolBox :

Mini-Tagwall des articles publiés sur SecuObs :

Mini-Tagwall de l'annuaire video :

Mini-Tagwall des articles de la revue de presse :

Mini-Tagwall des Tweets de la revue Twitter :