[ 1 ] From a Windows driver to a fully functionnal driver.
In this blogpost we'll go through the history of EDR's, how they used to work, how they work now and how we can build a fully functionnal one. Last step is a chall, bypass MyDumbEDR.
https://sensepost.com/blog/2024/sensecon-23-from-windows-drivers-to-an-almost-fully-working-edr/
[ 2 ] internal mecanisms of EDR's :
https://www.youtube.com/watch?v=yacpjV6kWpM&t=387s
[ 3 ] MyDumbEDR ( written in C )
https://github.com/sensepost/mydumbedr
———
@islemolecule_source
In this blogpost we'll go through the history of EDR's, how they used to work, how they work now and how we can build a fully functionnal one. Last step is a chall, bypass MyDumbEDR.
https://sensepost.com/blog/2024/sensecon-23-from-windows-drivers-to-an-almost-fully-working-edr/
[ 2 ] internal mecanisms of EDR's :
https://www.youtube.com/watch?v=yacpjV6kWpM&t=387s
[ 3 ] MyDumbEDR ( written in C )
https://github.com/sensepost/mydumbedr
———
@islemolecule_source
👍2
Source Byte
[ 1 ] From a Windows driver to a fully functionnal driver. In this blogpost we'll go through the history of EDR's, how they used to work, how they work now and how we can build a fully functionnal one. Last step is a chall, bypass MyDumbEDR. https://sen…
This media is not supported in your browser
VIEW IN TELEGRAM
Creating hidden registry key using NtSetValueKey and by adding a null byte in front of the UNICODE_STRING key valuename.
👍2
Forwarded from vx-underground
1. AnyDesk compromised. BleepinComputer confirmed with AnyDesk that source code and private code signing keys were stolen
2. Google search is removing cache links :(
3. Serial swatter Torswats arrested
4. CyberAv3ngers is tied to the Iranian government
2. Google search is removing cache links :(
3. Serial swatter Torswats arrested
4. CyberAv3ngers is tied to the Iranian government
👍2
Using favicon in red/blue team process.
credit : seyyid
language : persian
https://onhexgroup.ir/favicon-redteam-blueteam/
credit : seyyid
language : persian
https://onhexgroup.ir/favicon-redteam-blueteam/
🥰3👍2
Updated my process memory scan tool.
I added 64bit PEB info for WOW64 32bit process.
https://github.com/daem0nc0re/TangledWinExec/tree/main/ProcMemScan
#tweet
———
@islemolecule_source
I added 64bit PEB info for WOW64 32bit process.
https://github.com/daem0nc0re/TangledWinExec/tree/main/ProcMemScan
#tweet
———
@islemolecule_source
👍1
Forwarded from OnHex
🟢 Creating FLIRT Signatures in IDA Pro for CTF's, Malware, etc...
🔴 تو مسابقات CTF ، اغلب به شما یه باینری بدون symbol میدن و همچنین چون این باینری بصورت استاتیک کامپایل میشه، حاوی کدهای کتابخونه هست. این دو مورد + مواردی که برای سخت تر کردن چالش انجام میدن، باعث میشه فرایند مهندسی معکوس اغلب چالش برانگیز بشه.
ابزارهای FLAIR و FLIRT که با IDA PRO عرضه میشن، میتونن در این شرایط کمکتون کنن. با استفاده از FLAIR میتونید، امضاهای FLIRT رو تولید کنید. این امضاها اغلب از کتابخونه های استاتیک ( در لینوکس با پسوند a موجود هستن) مانند libssl و libcrypto و ... تولید میشن.
این کتابخونه ها هزاران تابع دارن و وقتی امضای تولید شده از اونا رو به فایلی که در IDA آنالیز میکنید، بدید ، میتونه توابع موجود در این کتابخونه ها رو شناسایی کنید و روند مهندسی معکوس رو ساده تر کنید.
البته غیر از این دو ابزار، ابزار Karta برای IDA Pro و Rizzo برای Ghidra، همین کار رو انجام میدن.
🆔 @onhex_ir
➡️ ALL Link
🔴 تو مسابقات CTF ، اغلب به شما یه باینری بدون symbol میدن و همچنین چون این باینری بصورت استاتیک کامپایل میشه، حاوی کدهای کتابخونه هست. این دو مورد + مواردی که برای سخت تر کردن چالش انجام میدن، باعث میشه فرایند مهندسی معکوس اغلب چالش برانگیز بشه.
ابزارهای FLAIR و FLIRT که با IDA PRO عرضه میشن، میتونن در این شرایط کمکتون کنن. با استفاده از FLAIR میتونید، امضاهای FLIRT رو تولید کنید. این امضاها اغلب از کتابخونه های استاتیک ( در لینوکس با پسوند a موجود هستن) مانند libssl و libcrypto و ... تولید میشن.
این کتابخونه ها هزاران تابع دارن و وقتی امضای تولید شده از اونا رو به فایلی که در IDA آنالیز میکنید، بدید ، میتونه توابع موجود در این کتابخونه ها رو شناسایی کنید و روند مهندسی معکوس رو ساده تر کنید.
البته غیر از این دو ابزار، ابزار Karta برای IDA Pro و Rizzo برای Ghidra، همین کار رو انجام میدن.
🆔 @onhex_ir
➡️ ALL Link
YouTube
Creating FLIRT Signatures in IDA Pro for CTF's, Malware, etc...
MOST VIDEOS ARE UNDER THE LIVE SECTION!
Often times during Capture the Flag (CTF) challenges, you are given a binary that is not only stripped of symbols, but also includes statically compiled library code. This can make reverse engineering more challenging…
Often times during Capture the Flag (CTF) challenges, you are given a binary that is not only stripped of symbols, but also includes statically compiled library code. This can make reverse engineering more challenging…