Dans la Presse

HZV

  • Meeting HZV : Mars 2010

    • Comme tous les premiers samedi du mois, la team HZV tiendra un meeting dans les locaux de Sysdream à Saint Ouen près de Paris. Le thème principal de ce meeting n'est pas encore défini ; n'hésitez pas à nous contacter si vous souhaitez proposer un thème. Pour vous inscrire ou pour une information, envoyez un mail à meeting@hackerzvoice.net L'entrée est libre pour tous, alors venez nombreux ! Le Staff HZV
  • Analyse avancée de la mémoire physique de Mac OS X, par Matthieu Suiche

    • Un deuxième VIP vient d'être confirmé : il s'agit de Matthieu Suiche, qui présentera une conférence sur l'analyse avancée de la mémoire physique sous Mac OS X. Matthieu Suiche est un chercheur en securite francais specialisé dans le reverse engineering et l'autopsie de la mémoire physique. C'est à lui que l'on doit SandMan ainsi que Win32dd/Win64dd, deux outils d'analyse forensic. Il donne régulièrement des conférences lors d'événements internationnaux tels que le BlackHat USA, PacSec, ShakaCon, etc.

Analyse d'un packer et programmation d'un unpacker

Pour lutter contre la détection par signature les trojans sont souvent packés à l'aide d'un packer. Un packer est un programme qui compresse , chiffre, protège les exécutables. Pour que les exécutables puissent être lancés, le packer leur ajoute une fonction, un loader, qui va décompresser et déchiffrer l'exécutable en mémoire avant de lui rendre la main. Les détections par signatures se faisant sur l'exécutable 'en dur', c'est à dire sur le fichier et non en mémoire lorsque le programme est lancé, le code du malware est chiffré et la détection par signature échoue.

En savoir plus

Optimisation de Blind SQL injection

Les failles d'injection de code SQL sont désormais bien connues, mais les techniques d'exploitation en aveugle le sont moins. Les astuces pour obtenir le nombre de champs employés dans une requête SELECT, ou pour brute-forcer les valeurs des champs de manière dichotomique sont elles aussi de plus en plus rencontrées au travers de l'ensemble des pages traitant de ce sujet sur Internet. Mais qu'en est-il des techniques de découverte et de récupération de données dans un environnement inconnu, lorsqu'on se trouve dans l'incapacité de déterminer si une requête forgée a provoqué le résultat attendu ?

En savoir plus

Nouvelle technique d'injection de code

L'injection de code dans un processus est une technique connue depuis plusieurs années dans la sécurité informatique, et largement utilisée par de nombreux malwares, et de fait contrée par de nombreux logiciels anti-malware. Il existe cependant un moyen de contourner ces détections, tout en assurant l'injection d'une dll dans l'espace mémoire d'un autre processus, et cela de manière furtive, à l'insu de ces logiciels anti-malware.

En savoir plus

An analysis of Microsoft Windows Vista’s ASLR

Windows Vista includes a new memory protection system called ASLR. Its goal is to escape buffer overflow attacks in vulnerable programs.

En savoir plus

Stack overflow on Windows Vista

In this article we will analyze the ASLR (Address Space Layout Randomization) that has been added to Windows Vista beta 2 and we will see through an example how it is possible to bypass the ASLR to exploit stack overflows on Windows Vista.

En savoir plus

Stack overflow on Windows XP SP2

In this article we will see the different protection mechanisms added by Microsoft 
in windows XP SP2 to prevent stack overflow exploitation.

En savoir plus

Linux_2.6.x_vsyscalls

Advisory - Linux 2.6.x vsyscalls may be used as powerful attack vectors.

[April 13 2005] Keywords: RORIV (ret-onto-ret-into-vsyscalls)
	 	 	  ROJIV (ret-onto-jmp-into-vsyscalls)

Original paper may be found at:
http://www.sysdream.com/
http://www.lse.epita.fr/publications.php

En savoir plus

REFWEO