Linksammlung

[Zaesar]

Hier seid ihr alle eingeladen, Links auf Papers oder Sites zu posten, die ihr für interessant haltet und von denen ihr denkt, dass sie auch anderen Leuten weiterhelfen können. Im Endeffekt soll so eine Sammlung von Links entstehen, die zu den Themen dieses Forums die interessantesten Texte auflistet oder in der man Lese-Tips finden kann, wenn man gerade nichts zu tun hat. Damit das so klappen kann, beachtet bitte diese Richtlinien:

• Es geht Klasse vor Masse: postet bitte nur Links zu Texten, die ihr selbst gelesen habt und von denen ihr denkt, dass sie auch für andere hilfreich sind.
• Beschreibt bitte in 3-4 Sätzen kurz, wovon der Text handelt, an wen er sich richtet und welches Vorwissen man braucht, um den Text verstehen zu können. So weiss jeder schon beim Lesen eurer Beschreibung, ob der Text für ihn interessant ist.
• Das hier soll kein Diskussionsthread werden. Wenn zu einem Text inhaltliche Fragen auftauchen, erstellt bitte einen neuen Thread in einem passenden Forum. Solltet ihr doch etwas zu einem Link hinzufügen wollen, dann markiert eure Antworten bitte als Off Topic und macht mittels der "Quote"-Funktion klar, auf welchen Beitrag ihr euch bezieht.

[lizer]

Bleibt dieser Thread jetzt so bestehen? Dann fang ich mal an.

http://www.haking.pl/de/index.php?page=pobierz - diverse Artikel zum Thema (aus dem Magazin Hakin9). Wer die gelesen hat, hat schon mal eine solide Grundlage/Verständnis.
Besonders interessant sind folgende:

Autor: Piotr Sobolewski
Titel: Stacküberlauf unter Linux auf der x86-Plattform
Artikel aus der Ausgabe 4/2004 (6)

Autor: Piotr Sobolewski, Tomasz Nidecki
Titel: Übertrettungen unter Verwendung von Formatketten
Artikel aus der Ausgabe 5/2004 (7)

[nait]

Hab gerade diesen Link ausgegraben:

Know your Enemy: Tracking Botnets - Source Code
http://project.honeynet.org/papers/b...tnet-code.html

8 Code-Schnipsel mit denen herausgefunden werden kann ob der Code gerade debugged wird oder in einer VM läuft. Bezieht sich auf Windows. Assembler-Kenntnisse sind Voraussetzung und die Struktur des Process Environment Block (PEB) sollte man sich auch mal ansehen.

[morpheus]

Malware Analysis
"Reverse-Engineering Malware"
http://www.zeltser.com/reverse-malware-paper/

"Advanced Binary Malware Analysis"
http://www.f-secure.com/weblog/archi...lyi_VB2004.pdf

"VX Reversing I, the basics"
http://www.codebreakers-journal.com/...ayout=abstract

"An Environment for Controlled Worm Replication and Analysis"
http://www.research.ibm.com/antiviru.../VB2000INW.htm

"Malware Analysis for Administrators"
http://www.securityfocus.com/infocus/1780

"Are You Infected? Detecting Malware Infection"
http://www.securityfocus.com/infocus/1666

Honeynet Project: (http://www.honeynet.org/papers/index.html)
"Know your Enemy: Tracking Botnets"
http://www.honeynet.org/papers/bots/

"Know Your Enemy: Honeynets in Universities"
http://www.honeynet.org/papers/edu/

"Know Your Enemy: Learning with VMware"
http://www.honeynet.org/papers/vmware/

"Know Your Enemy: A Forensic Analysis"
http://www.honeynet.org/papers/forensics/index.html

"Know Your Enemy I - III"
http://www.honeynet.org/papers/enemy/index.html
http://www.honeynet.org/papers/enemy2/index.html
http://www.honeynet.org/papers/enemy3/index.html

Examples for Reverse-Engineering Malware:
"Backdoor.Dewin.k"
http://www.klake.org/~jt/malware/svchost/

"Backdoor.Spotcom"
http://www.klake.org/~jt/malware/spotcom/

"VX Reversing II, Sasser.B"
http://www.codebreakers-journal.com/...ayout=abstract

"Sobig.x"
"Backdoor.Sinit P2P"
"MyDoom.x"
"I-Worm.Baba"
u.v.m.
http://www.lurhq.com/technical.html

[robotic]

Smashing the stack for fun and profit

Der "Klassiker" bzgl BufferOverflows. Beschreibt deren Ausnutzen sowie das Schreiben von shellcode,ist allerdings nicht ganz einfach zu verstehen, ASM Kenntnisse nötig

[nait]

Bugger The Debugger - Pre Interaction Debugger Code Execution
http://www.security-assessment.com/W...s/PreDebug.pdf

Ansätze um Code auszuführen bevor ein Debugger den Programmablauf am Entrypoint unterbricht. Bezieht sich auf Windows. Grundwissen über DLLs und Windows-Programmierung (nicht die Fensterprogrammierung) sind hilfreich.

[Fischauge]

Liste von Tools, Artikeln und Exploits.

http://www.securityforest.com

[morpheus]

Seit einer knappen Woche sind alle Teile zu dem auf http://securityfocus.com/ publizierten Artikel "Windows rootkits of 2005" verfuegbar.

Um die in den Artikeln besprochene Informationen verstehen zu koennen ist meiner Meinung nach kein spezielles Wissen ueber Windoze und dessen Interna noetig. Die Informationen werden relativ gut aufbereitet und verstaendlich erklaert.

Windows rootkits of 2005, part one, two and three

The first of this three-part series will discuss what a rootkit is and what makes them so dangerous. We'll start by looking at various modes of execution and the ways they talk to the kernel: hooking tables, using layered filter drivers, and dealing directly with Windows kernel objects.

http://www.securityfocus.com/infocus/1850

The second article will address the latest Windows rootkit approach that uses virtual memory hooking to provide a high degree of stealth.
[...]
In our previous article, we discussed current rootkit development techniques. In this article, we take it a step further and focus upon upcoming, cutting edge trends in rootkit technologies.

http://www.securityfocus.com/infocus/1851

The third and final article in this series explores five different rootkit detection techniques used to discover Windows rootkit deployments. Additionally, nine different tools designed for administrators are discussed.

http://www.securityfocus.com/infocus/1854

Seit heute gibt es auch eine dt. Uebersetzung des ersten Artikels auf http://heise.de/ unter http://www.heise.de/security/artikel/68243, allerdings wuerde ich empfehlen die engl. Versionen zu lesen.

[mastercane]

Deutsche Übersetzung hat übrigens heisec.de gemacht:

Part 1: http://www.heise.de/security/artikel/68243
Part 2: http://www.heise.de/security/artikel/68507
Part 3: http://www.heise.de/security/artikel/68822

mfg
mastercane

[morpheus]

Large Large memory management vulnerabilities - System, compiler, and application issues
http://cansecwest.com/core05/memory_vulns_delalleau.pdf

In dem Paper geht es darum, dass in Situationen in denen eine Anwendung sehr viel Speicher fuer sich reserviert, neue ausnutzbare Sicherheitsprobleme entstehen koennen. Zum Beispiel, dass es durch Bugs in der Verwaltung des Stack- und Heapspeichers des Betriebssystemes dazu kommen kann, dass sich Stack und Heap ueberschneiden. Bei Compilern kann es passieren, dass diese Schwachstellen in an und fuer sich sicheren Code bringen bzw. bei Anwendungen kann es durch die grosse Menge an allozierten Speicher zu Integer-Overflows und Vorzeichenproblemen kommen.

Unter diesen Bedingungen kann es auch passieren, dass non-exploitable Bugs, wie eine Null Pointer Dereference, auf einmal zu exploitable Bugs werden.

uvm..

[theblacksheep]

Also ich habe milw0rm beizusteuern.
Dort gibt es einen sehr guten Tutorialbereich bzgl. Exploiting und Sicherheit.
Des Weitern gibt es eine Vielzahl an Shellcodes und Exploits zum runterladen.

[big-fish]

http://www.securityfocus.com/infocus/1864
okay first I posted it not in this thread so
I've got a warning from a moderator.
Yeah this Paper is about the five common vulerabilities in web applications like:
sql injection, remote file inclusion, remote file view, XSS, etc.

Have Phun big-fish

[wooxed]

http://www.hackingdefined.com/index.php/Demos

diese Seite beeinhaltet unter anderem Demonstrationen zu bekannten Techniken wie Sniffing & Tunneling. Sind momentan nicht viele, aber unter Links wird auf www.remote-exploit.org verwiesen, diese bietet Tutorials bezogen auf die Live-Distribution Back-Track.

[ZIPP]

Einige Interessante Artikel über Viren (Programmierung[Dos, Windows, Linux], Analyse, Verstecken)
http://www.snake-basket.de/tutorials.html

[morpheus]

Windows Anti-Debug Reference

This paper classifies and presents several anti-debugging techniques used on Windows NT-based operating systems. Anti-debugging techniques are ways for a program to detect if it runs under control of a debugger. They are used by commercial executable protectors, packers and malicious software, to prevent or slow-down the process of reverse-engineering. We'll suppose the program is analyzed under a ring3 debugger, such as OllyDbg on Windows platforms. The paper is aimed towards reverse-engineers and malware analysts. Note that we will talk purely about generic anti-debugging and anti-tracing techniques. Specific debugger detection, such as window or processes enumeration, registry scanning, etc. will not be addressed here.

http://www.securityfocus.com/infocus/1893?ref=oc
Es ist zwar nichts aussergewoehnliches dabei aber eine nette Zusammenfassung so wie ich finde.