On 27/01/2015 08:08, GiPOCO wrote:
> Non sono sicuro che sia un motivo sufficiente per NON tenere il talk,
> maragi a qualcuno che non è a conoscenza della cosa interessa saperlo e
> capire che cosa di interessante hai da aggiungere tu.
>
Eh, non saprei poi cosa aggiungere al momento. Devo testarlo e capire se
ci sono zone 'inesplorate' che vale poi la pena presentare.
> Molto probabile; solo su OSX lo vedo leggermente più macchinoso se stiamo
> parlando delle Apps e non del classico "eseguibile" da shell a la Unix, ma
> alla fine è come patchare al volo un exe dentro ad un archivio compresso.
>
Si`, supporta anche il patching di file all'interno di archivi compressi
(li unzippa e patcha tutti gli exe/dll che ci sono dentro :)
Per Mac OS X ha il supporto a mach-o, quindi vince (non ricordo se lo fa
vedere in quel video, ma nella doc su github c'e` scritto che funziona)
> ...vero, ma niente che un briciolo di sana - vecchia - paranoia non possa
> evitare (e non ho detto che non funzionarebbe nel 95% dei casi).
>
Ovvio, ma come dice anche il tizio, l'unico 'segno' della compromissione
e` che, se l'eseguibile e` firmato, dopo la patch non lo e` piu`.
Se sai che un binario e` firmato, allora puoi fare il check a mano e
via. Ma se non sai se e` firmato? Non puoi fare nessun controllo.
Poi li` lui usa una shell meterpreter che e` abbastanza facile da
scovare, ma se ci volessi mettere qualcosa di piu` stealth, allora il
gioco si fa duro, molto duro.
--
Anathema
+--------------------------------------------------------------------+
|GPG/PGP KeyID: CFF94F0A available on http://pgpkeys.mit.edu:11371/ |
|Fingerprint: 80CE EC23 2D16 143F 6B25 6776 1960 F6B4 CFF9 4F0A |
| |
|http://www.msack.org |
+--------------------------------------------------------------------+
