Nytro

Bine "as well as stolen credit card data", le dau dreptate aici, dar articolul cu rangurile de pe forum e de cacat...

Astia sunt retardati...

Da ma, logic. Da, si eu vreau sa trec pe la Bestfest. Bine, doar BUG Mafia vreau sa vad, dar nu stiu daca prind. Pai daca tot amanam nu mai facem niciodata. Hotarati-va.

Au avut bani sa ii cumpere un asa telefon unui mucos, au bani sa ii mai cumpere inca unul.

Da, duminica cred ca e mai ok. Ramane asa?

shaggi. Da, nu a fost organizat, dar nici cele "14" ONG-uri (s-au prezentat fiecare cu cate un om sau doi de eram atat de putini?) nu au organizat nimic, a fost ceva spontan. DuTy^ E si diseara de la 19:00, e posibil sa mai trec pe acolo, dar nu stiu daca am timp. 0x004 Nu, apar si eu in cateva cadre, dar abia m-am vazut eu. alecseu E o idee in care cred, ii respect pentru ca vor binele tarii, oricum Piata Universitatii este "centrul", unii erau acolo ca sa nu darame fantana...

Incepand cu secunda 35 :->

Da, poate eu si alti romani suntem prosti, si nu vedem corect situatia. Dar si ambasadorul SUA (Mark Gitenstein), Reuters si France-Presse, CNN, The Economist,Deutsche Welle, cei din Parlamentul European, din Consiliul European, presedintele Comisiei de la Venetia si probabil multi altii, sunt si ei prosti ca mine? Acum la 10, se citeste cererea de suspendare, caz in care interimar fiind Crin Antonescu (care nu s-a prezentat la nici 20% din dezbaterile din Parlament la care trebuia sa ajunga si care nu iese din casa inainte de ora 13:00 parca, se odihneste na, e obosit) va primi pentru 3 luni aproape toata puterea presedintelui. Info: Pre?edintele Comisiei de la Vene?ia cere României s? respecte independen?a justi?iei AFP: România într-o situa?ie îngrijor?toare dup? ofensiva puterii Deutsche Welle: Noaptea democra?iei, cea?a ra?iunii „The Economist“ despre Ponta: „M? numesc Paste. Copy Paste“ Presa interna?ional? comenteaz? criza politic? de la Bucure?ti ?i îngrijorarea observatorilor externi - Interna?ional > EVZ.ro REAC?II DURE DE LA BRUXELLES. România, în pericol s? fie suspendat? din UE - Politica > EVZ.ro Mark Gitenstein: "Când puterea e concentrat? în mâinile câtorva persoane, ??rile e?ueaz?" - Actualitate > EVZ.ro Ambasadorul SUA: Dac? suspendarea pre?edintelui este f?cut? prin înc?lcarea Constitu?iei, aceasta va avea un efect serios - Partide > EVZ.ro Mark Gitenstein: "Suspendarea pre?edintelui va avea consecin?e serioase dac? nu va fi f?cut? constitu?ional" | Jurnalul National Suspendarea lui B?sescu, în presa interna?ional?: O criz? politic? risc? s? izbucneasc? în România | Jurnalul National Reuters ?i France-Presse comenteaz? evolu?iile politice de la Bucure?ti | Jurnalul National Nu spun ca PDL sunt mai cu mot, pentru ca nu sunt, dar se putea proceda ca in 2007 cu demiterea presedintelui, atunci aceasta miscare a fost facuta constitutional, acum e cert ca USL vor sa obtina intreaga putere in tara:tot un fel de dictatura este.

NU am fost PENTRU PDL. Am discutat deja cu prea multe persoane, m-am plictisit. 1. USL ?i PDL: aceea?i mizerie! - RomanianUltras.net "Sigur ca sunt implicati, e in interesul lor, sa faca tot ce pot, pe mine ma deranejaza ca au incalcat constitutia, azi au modificat Monitorul oficial, vor sa aiba controlul Curtii constitutionale, vor sa desfiinteze Consiliului Na?ional de Atestare a Titlurilor, Diplomelor ?i Certificatelor Universitare (oare de ce?), au revocat Avocatul poporului, si vor sa demita presedintele, practica vrand sa obtina intreaga putere in tara, aceasta fiind practic o lovitura de stat, presedintele fiind ales prin VOT! O sa se ajunga din nou la ceva asemanator comunismului, o singura putere in stat, o dictatura, democratia o sa dispara. Citeste articolele de pe evz.ro sau adevarul.ro pentru mai multe detalii." "Opinii fara informare, clasic, din auzite, nu am zis nimic de PDL, nu am zis ca "sunt curati" pentru ca NU sunt, nu am zis ca ei nu au incalcat legi pentru ca probabil au facut-o, dar nu in halul acesta. Am ascultat si eu ce spuneau si Basesc si Ponta si Antonescu (video) si tind sa nu le dau dreptate. Da, este tara lui Basescu, asa e, dar e asa pentru ca L-AM VOTAT (noi, romanii, chiar daca acum NU ne convine, L-AM VOTAT, e dreptul nostru constitutional). In urma demiterii, Crin Antonescu ar deveni presedinte, unul pe care NU L-AM VOTAT, practic instaurat cu forta (lovitura de stat?), cand presedintele se alege prin VOT. Sa astepte si USL-ul pana la alegeri, si sa vedem ca cu USL (care negociau posturi administrative cu UNGURII pisa-m-as pe ei de unguri) o sa o ducem mult mai bine... Daca tie ti se pare ca e mai ok asa, ca e ok ce face USL, o sa vedem in viitorul apropiat cat de bine o sa fie. Inca o data, ca sa fiu sigur ca ai inteles opinia mea: MUIE PDL" Am luat cu Copy/Paste dintr-o discutie de pe Facebook, ce am scris. Câte legi a înc?lcat USL de azi-diminea?? - Partide > EVZ.ro STRATEGIE. Cum vrea USL s? îl suspende pe pre?edintele Traian B?sescu - Parlament > EVZ.ro PRIMA VICTIM? A LOVITURII DE STAT A USL: Vasile Blaga, revocat de la ?efia Senatului - Parlament > EVZ.ro România, amenin?at? cu suspendarea din UE Curtea Constitu?ional?, blocat? prin „abuz de putere“ EXCLUSIV Premierul ?i-a falsificat CV-ul. Pre?edintele Universit??ii din Catania: Victor Ponta nu a f?cut niciun master la Universitatea Catania USL l-a schimbat pe Vasile Blaga din fruntea Senatului. USL vrea s? controleze Parlamentul ?i Curtea Constitu?ional? în vederea suspend?rii pre?edintelui Articolele de pe Jurnalul sunt de partea USL-ului, am vazut articole scrise de Victor Ciutac, PDL, care lucreaza la Jurnalul. Nu spun ca ceilalti de la evz sau adevarul sunt sau nu pro-PDL, dar na... Cererea de suspendare a pre?edintelui Traian B?sescu, depus? azi de USL. Referendum, pe 15 sau 22 iulie | Jurnalul National Parlamentul nu da lovituri de stat | Jurnalul National Mark Gitenstein: "Suspendarea pre?edintelui va avea consecin?e serioase dac? nu va fi f?cut? constitu?ional" | Jurnalul National PS: MUIE PDL, MUIE PSD, nu sunt de partea nimanui, sunt de partea "dreptatii", a democratiei, a respectarii constitutiei... Cat despre TVA, Romania are "ceva" datorii pe care cumva trebuie sa le acopere, sau vom ajunge in situatia Greciei.

La proteste, Piata Victoriei, vreo 400 de oameni tacuti, cu foi cu diverse inscriptii, am stat putin apoi am mers la Universitate. La Fantana, vreo 300 de oameni, si dupa cum zicea cineva, 50 de jurnalisti si 50 de ultrasi. A fost misto, am cantat, am urlat, am trecut strada in partea cealalta, dar nu prea a fost organizare...

Da, frumos, felicitari. Nu aveam idee ca exista atatea tool-uri utile...

Cine vine? USL ?i PDL: aceea?i mizerie! - RomanianUltras.net

Reversing mrxsmb.sys. Chapter II "NtClose DeadLock" [TABLE=class: contentpaneopen] [TR] [TD=colspan: 2, align: left]Written by Rubén [/TD] [/TR] [TR] [TD=class: createdate, colspan: 2] Tuesday, 13 June 2006 [/TD] [/TR] [TR] [TD=colspan: 2] Reversing Mrxsmb.sys. Chapter II: "NtClose DeadLock" This paper/advisory describes a vulnerability within the Kernel Object Manager Download References: Microsoft Security Bulletin MS06-030 iDefense Advisory CVE: CAN- 2006-2374 [/TD] [/TR] [/TABLE] Download: http://www.reversemode.com/index.php?option=com_remository&Itemid=2&func=startdown&id=19 Sursa: Reverse Mode - Reversing mrxsmb.sys. Chapter II "NtClose DeadLock"

Reversing mrxsmb.sys. Chapter I "Getting Ring0" [TABLE=class: contentpaneopen] [TR] [TD=colspan: 2, align: left]Written by Rubén [/TD] [/TR] [TR] [TD=class: createdate, colspan: 2] Tuesday, 13 June 2006 [/TD] [/TR] [TR] [TD=colspan: 2] Reversing Mrxsmb.sys. Chapter I: "Getting Ring0" This paper/advisory describes a vulnerability in Microsoft Server Message Block Driver. Download References: Microsoft Security Bulletin MS06-030 iDefense Advisory CVE: CAN- 2006-2373 [/TD] [/TR] [/TABLE] Download: http://www.reversemode.com/index.php?option=com_remository&Itemid=2&func=startdown&id=18 Sursa: Reverse Mode - Reversing mrxsmb.sys. Chapter I "Getting Ring0"

Generic detection and classification of Polymorphic malware using Neural Pattern Recognition [TABLE=class: contentpaneopen] [TR] [TD=colspan: 2, align: left]Written by Rubén [/TD] [/TR] [TR] [TD=class: createdate, colspan: 2] Tuesday, 13 June 2006 [/TD] [/TR] [TR] [TD=colspan: 2] Download Overview This paper describes how to develop a Neural Pattern Recognition System in order to detect polymorphic.The widely extended Polymorphic Packer/Cypher Morphine is used as example. Abstract The obsolete way in which some anti-virus products are generating malware signatures, makes that polymorphic samples detection, a tedious problem when it actually is not so difficult. This paper describes the basics of a method by which the generic classification of polymorphic malware could be considered as a trivial issue [/TD] [/TR] [/TABLE] Download: http://www.reversemode.com/index.php?option=com_remository&Itemid=2&func=startdown&id=22 Sursa: Reverse Mode - Generic detection and classification of Polymorphic malware using Neural Pattern Recognition

Exploiting WDM Audio Drivers [TABLE=class: contentpaneopen] [TR] [TD=colspan: 2, align: left]Written by Rubén [/TD] [/TR] [TR] [TD=class: createdate, colspan: 2] Friday, 21 December 2007 This paper explains an attack vector inherent to certain WDM audio drivers running on Windows Vista, XP, 2000 and 2003. Successful exploitation could lead to local escalation of privileges. It is oriented towards researchers and developers with the aim of helping them to keep their code safe and/or to identify vulnerabilities. [/TD] [/TR] [TR] [TD=colspan: 2] Download Overview This paper covers an attack vector which is inherent to certain WDM audio drivers running on Windows Vista, XP, 2000 and 2003. [/TD] [/TR] [/TABLE] Download: http://www.reversemode.com/index.php?option=com_remository&Itemid=2&func=startdown&id=54 Sursa: Reverse Mode - Exploiting WDM Audio Drivers

Nu se pune problema stergerii conturilor inactive, dar problema link-urilor vizibile utilizatorilor neinregistrati e discutabila.

Asta e doar o modalitate de a "atrage" utilizatori noi. De exemplu, cineva gaseste ceva util, apoi da o privire pe forum. Poate vede ca Vasile are o problema si il poate ajuta. Insa nu isi va face cont special pentru a-l ajuta. Insa daca deja are cont, fiind cumva "fortat" sa aiba cont, fiind logat, ii va fi foarte usor sa posteze. Practic cam asta inseamna un forum: colaborare. Daca nu ar fi cumva fortati sa isi faca cont, ar fi numai leecheri si nu ar contribui cu nimic. Avand cont, o eventuala contributie e mult mai simpla.

Cunosti bine limbajele de programare in care au fost scrise? Stii bine structura PE (Portable Executable)? Cunosti WinAPI pentru a lucra cu aceste structuri, lucrul cu procese si thread-uri? Cunosti cum functioneaza scanarea antivirus si pe ce se bazeaza detectiile?

E cam aiurea daca vrei sa gasesti fereastra in functie de proces. Poti face asta: folosesti EnumWindows function (Windows) pentru a gasi toate ferestrele, ce necesita crearea unei functii callback EnumWindowsProc callback function (Windows) si pentru fiecare fereastra cauti process ID-ul cu GetWindowThreadProcessId function (Windows) , pe acesta fiind usor sa il afli GetProcessId function . Dar NU se procedeaza asa. Trebuie sa gasesti direct fereastra cu functiile FindWindow function si FindWindowEx function . Foloseste un program ca Spy++ sau WinspectorSpy pentru a descoperi clasele si numele/titlurile ferestrelor (proprietati ale ferestrelor dupa care poti face cautarea cu aceste functii) si astfel vei avea handler-ul ferestrei. Apoi vei putea folosi SendMessage pentru a trimite KEYDOWN/UP: SendMessage(hWnd, WM_KEYDOWN, buton, 0); SendMessage(hWnd, WM_KEYUP, buton, 0); Cu keybd_event function sau SendInput function e mai simplu in sensul ca nu ai nevoie de nicio fereastra, functiile pur si simplu simuleaza apasarea unor taste, mesajele acestea ajungand la fereastra activa. Adica pui codul sa apeleze in timp ce te afli in joc, poti cauta intr-un Timer/cu un Sleep() fereastra de joc cu GetForegroundWindow function . Folosirea lui SendInput function poate fi putin greoaie, dar e foarte practica functia. Uite aici un exemplu de folosire: Google Answers: Using SendInput to send a number Ai grija cu C#-ul, e posibil sa ai foarte multe probleme, cu Pointeri sau dimensiunea parametrilor cu care apelezi functiile API, e posibil sa trebuiasca sa folosesti functiile din clasa Marshal Class (System.Runtime.InteropServices) .

La programul principal? Eu am folosit keybd_event function cu WM_KEYUP si WM_KEYDOWN sau SendInput function . Am avut ceva probleme cu SendMessage, daca incerci sa trimiti unui program mai "prioritar" nu o sa poti, sunt anumite restrictii. Oricum, si cu SendMessage cu WM_KEYDOWN/UP ar trebui sa mearga.

[h=3]Inside Flame: You Say Shell32, I Say MSSECMGR[/h][h=2]Thursday, June 28, 2012[/h]By Ruben Santamarta When I was reading the CrySyS report on Flame (sKyWIper)[1], one paragraph in particular caught my attention: In case of sKyWIper, the code injection mechanism is stealthier such that the presence of the code injection cannot be determined by conventional methods such as listing the modules of the corresponding system processes (winlogon, services, explorer). The only trace we found at the first sight is that certain memory regions are mapped with the suspicious READ, WRITE and EXECUTE protection flags, and they can only be grasped via the Virtual Address Descriptor (VAD) kernel data structure So I decided to take a look and see what kind of methods Flame was using. Flame is conceived to gather as much information as possible within heterogeneous environments that can be protected by different solutions, isolated at certain levels, and operated upon by different profiles. Which means that, from the developers point of view, you can't assume anything and should be prepared for everything. Some of the tricks implemented in Flame seem to focus on bypass just as much AV products, specifically in terms of heuristics. A distributed "setup" functionality through three different processes (winlogon, explorer, and services ) is way more confusing than letting a unique, trusted process do the job; i.e. it's less suspicious to detect Internet Explorer coming from explorer.exe than winlogon. In essence, the injection method seems to pivot around the following three key features: · Disguise the malicious module as a legitimate one; Shell32.dll in this case. · Bypass common registration methods supplied by the operating system, such as LoadLibrary, to avoid being detected as an active module. · Achieve the same functionality as a correctly-registered module. So, let's see how Flame implements it. During the initial infection when DDEnumCallback is called, Flame injects a blob and creates a remote thread in Services.exe. The blob has the following structure: The loader stub is a function that performs the functionality previously described: basically a custom PE loader that's similar to the CryptoPP dllloader.cpp[2] with some additional tricks. The injection context is a defined structure that contains all the information the loader stub may need including API addresses or names, DLL names, and files—in fact, the overall idea reminded me of Didier Stevens' approach to generating shellcodes directly from a C compiler[3] Injection Context: Blob + 0x710 API Addresses: [TABLE] [TR] [TD]esi OpenMutexW esi+4 VirtualAlloc esi+8 VirtualFree esi+0Ch VirtualProtect esi+10h LoadLibraryA esi+14h LoadLibraryW esi+18h GetModuleHandleA esi+1Ch GetProcAddress esi+20h memcpy esi+24h memset esi+28h CreateFileMappingW esi+2Ch OpenFileMappingW [/TD] [TD]esi+30h MapViewOfFile esi+34h UnmapViewOfFile esi+38h ReleaseMutex esi+3Ch NtQueryInformationProcess esi+40h GetLastError esi+44h CreateMutexW esi+48h WaitForSingleObject esi+4Ch CloseHandle esi+50h CreateFileW esi+54h FreeLibrary esi+58h Sleep esi+5Ch LocalFree [/TD] [/TR] [/TABLE] The loader stub also contains some interesting tricks. [h=3][/h][h=3]Shell32.dll: A matter of VAD[/h]To conceal its own module, Flame hides itself behind Shell32.dll, which is one of the largest DLLs you can find on any Windows system, meaning it's large enough to hold Flame across different versions. Once shell32.dll has been mapped, a VAD node is created that contains a reference to the FILE_OBJECT, which points to Shell32.dll. Flame then zeroes that memory and loads its malicious module through the custom PE loader, copying sections, adjusting permissions, and fixing relocations. As a result, those forensics/AntiMalware/AV engines walking the VAD tree to discover hidden DLLs (and not checking images) would be bypassed since they assume that memory belongs to Shell32.dll, a trusted module, when it's actually mssecmgr.ocx. The stub then calls to DllEntryPoint, passing in DLL_PROCESS_ATTACH to initialize the DLL. The malicious DLL currently has been initialized, but remember it isn't registered properly, so cannot receive remaining events such as DLL_THREAD_ATTACH, DLL_THREAD_DETACH, and DLL_PROCESS_DETACH. And here comes the final trick: The msvcrt.dll is loaded up to five times, which is a little bit weird, no? Then the PEB InLoadOrder structure is traversed to find the entry that corresponds to msvcrt.dll by comparing the DLL base addresses: Once found, Flame hooks this entry point: InjectedBlock1 (0x101C36A1) is a small piece of code that basically dispatches the events received to both the malicious DLL and the original module. The system uses this entry point to dispatch events to all the DLLs loaded in the process; as a result, by hooking into it Flame's main module achieves the goal of receiving all the events other DLLs receive. Therefore, it can complete synchronization tasks and behaves as any other DLL. Neat. I assume that Flame loads msvcrt.dll several times to increase its reference count to prevent msvcrt.dll from being unloaded, since this hook would then become useless. See you in the next post! [1] http://www.crysys.hu/skywiper/skywiper.pdf[2] dllloader.cpp - secureimplugin - SecureIM plugin for Miranda IM - Google Project Hosting [3] Shellcode

Timpul e Nytro si Nytro e timpul... De acord?

Au fost cateva editii de RoCyberCon, am prezentat si eu PHP5 OOP, si nu au fost foarte multi entuziasmati sa participe.

RST-ul vrea sa ii incurajeze pe cei sub 18 ani sa invete, sa citeasca atat tutoriale cat si carti si sa ii ajute in problemele pe care le intampina (in domeniu).