Book Review: The IDA Pro Book
[DISCLAIMER: Este post va en inglés puesto que el libro también es en inglés... y a quien le interese lo entenderá]
At the beginning of last month I ordered a copy of The IDA Pro book from Chris Eagle at Amazon. Since reversing has been one of my pending subjects for a while now, and after seeing it recommended by Ilfak's himself, I decided to buy the book. I've just finished my first reading of the whole book, and before going into applying the acquired knowledge I've thought it may be useful to share my opinion with you.
The book is divided into 5 different parts. Part I, Introduction to IDA, covers the very basis about disassembling, reversing and reversing tools, and IDA Pro.
Part II, Basic IDA usage, introduces the reader into the IDA world in chapters 4 to 10. After introducing the user interface and the different IDA displays, Chir Eagle goes into disassembly navigation and manipulation, data types, cross-references and graphing, and finally the different IDA flavours apart from the normal Win32 GUI version (console mode for Windows,Linux,OS X). Chapter 8 about datatypes and data structures also provides a nice covering of C++ reversing, showing how to locate vtables and explaining inheritance relationships among others.
Part III, Advanced IDA usage, extends the IDA knowledge provided in the previous part by discussing its configuration files, library recognition methods, how to extend IDA's knowledge about library functions and, although it is not its main purpose, what can IDA do for us if we want to patch a binary.
Part IV of the book discusses the available options to extend IDA's functionality: IDC scripts, the IDA SDK, plug-in development and processor and loader modules. To be honest, I skipped a big chunk of this part because I believe it is not worth now. I'll just come back to these chapters once I start disassembling things and needing to tailor IDA's functionality to my needs.
Part V discusses how to deal with real-world problems. It starts with a chapter about the different assembly code produced by different compilers for the same source code, and then goes into a very interesting description about obfuscated code analysis (from the static analysis perspective mainly). Next, Eagle gives some hints on how to use IDA for finding vulnerabilities and provides a list of several useful real-world IDA plugins.
Last part of the book, Part VI, discusses the IDA debugger and its integration with the disassembler. This part starts with an introduction chapter, continues with a discussion on its integration with the disassembler and ends with a chapter about remote debugging with IDA.
As you have seen, this book provides a thorough coverage of IDA's capabilities, and gives real world examples. The examples, together with the IDC and plug-in code, make it a very interesting reading for those willing to learn about reversing and about the most popular disassembler these days.
If you'd like to learn how to use IDA efficiently, how to tailor it to your needs and automate your static analysis tasks, this is your book. Definitely, it is worth the money if you want to get into IDA and have a good reference book.
Videos Shmoocon 2008
Leído (otra vez) en McGrew Security Blog, me entero de que se han subido los vídeos de las conferencias Schmoocon 2008. El link, este: http://www.shmoocon.org/2008/videos/.
Lo que hay... parece que un poco de todo. Yo de momento me he bajado un par, la de Practical Crypto for Hackers y la que va sobre el protocolo PEAP. Solo he visto la primera, y aunque no me ha aportado demasiado de nuevo está interesante... da un repaso a los distintos tipos de algoritmos de cifrado ( de flujo, simétricos, asimétricos ) y al final da un protocolo de plausible deniability.
Algo interesante que yo no había pensado es el efecto que tienen los sistemas de ficheros con journaling sobre el borrado seguro ( wiping ). Puesto que el journaling precisamente posibilita que se puedan recuperar los datos ante un fallo del sistema operativo antes de que se hayan escrito al disco, es posible que por mucho que hayas utilizado una herramienta de wiping teóricamente segura se puedan reconstruir tus datos a partir del fichero de journal.
A ver si me los meto en el ipod y tengo algo para pasar el rato durante los trayectos de tren Eindhoven-Delft y viceversa 🙂 Que lo disfrutéis.
Taller de analísis forense by Vic_Thor
Pues sí, el gran Vic_Thor vuelve a la carga, esta vez con un taller de Análisis Forense que acaba de empezar en Wadalbertia.
De momento solo tenemos parte de la primera entrega, que va sobre discos duros, sistemas de fichero y esas cosas. Se puede leer aquí, y la verdad es que el índice y lo que comenta pinta interesante. Además como siempre bien explicado y de forma sencilla, marca de la casa.
Que lo disfrutéis ;-).
Outline de Phrack #65
Acabo de enterarme via la web oficial de los temas que tratará el número 65 de Phrack. Aunque aun no se ha publicado, supongo que dentro de poco estará disponible este nuevo número.
Respecto a los contenidos, hay un par de artículos sobre hooking en windows. Además hay un artículo sobre explotación dentro de una serie que iniciaron en el último número sobre exploits antiguos, que esta vez va sobre un overflow en SAMBA (en la implementación de WINS).
Además habrá algo sobre NAT y UPNP, y más cosillas... habrá que mantenerse al tanto 🙂
Actualización: El nuevo número ha sido publicado esta madrugada 😉
BlackHat DC 2008: Presentaciones online
Aunque hace una semana ya tuve posibilidad de acceder a algunas de las presentaciones de la Black Hat DC 2008 debido a que uno de mis jefes estuvo allí dando una charla, no quise publicar nada hasta hoy que me he dado cuenta de que las transparencias ya estaban online en los archivos.
Hay una serie de presentaciones sobre embedded devices que se dieron durante el segundo día, entre ellas una de Side Channel Analysis, otra sobre seguridad física ( Security Failures in Secure Devices ), análisis forense en Cisco IOS ... Otra que también puede resultar interesante es la dedicada a dipositivos de control de acceso biométricos o basados en tokens.
Además estuvo la tan comentada charla sobre cracking de A5/1 (cifrado de GSM), y otras más típicas como seguridad en oracle, cosillas sobre overflows, dtrace aplicado a ingeniería inversa, CSRF y alguna cosa más.
Desde luego una buena fuente de información si se tiene algo de tiempo y ganas 🙂
Phrack ha vuelto!
Pues sí, la ezine más famosa ha vuelto cargada de nuevos artículos. Después de que en agosto de 2005 el antiguo staff de Phrack publicara su último número, comentando que era de esperar una nueva release en 2006 o 2007 editada por otra gente, hace unos meses ( en Mayo ) se publicó el número 64.
Este es el índice:
0x01 Introduction The Circle of Lost Hackers
0x02 Phrack Prophile of the new editors The Circle of Lost Hackers
0x03 Phrack World News The Circle of Lost Hackers
0x04 A brief history of the Underground scene The Circle of Lost Hackers
0x05 Hijacking RDS TMC traffic information signal lcars
danbia
0x06 Attacking the Core: Kernel Exploitation Notes twiz
sgrakkyu
0x07 The revolution will be on YouTube gladio
0x08 Automated vulnerability auditing in machine code Tyler Durden
0x09 The use of set_head to defeat the wilderness g463
0x0a Cryptanalysis of DPA-128 sysk
0x0b Mac OS X Wars - A XNU Hope nemo
0x0c Hacking deeper in the system scythale
0x0d The art of exploitation: Autopsy of cvsxpl Ac1dB1tch3z
0x0e Know your enemy: Facing the cops Lance
0x0f Blind TCP/IP hijacking is still alive Lkm
0x10 Hacking your brain: The projection of consciousness keptune
0x11 International scenes Various
La verdad es que tiene buena pinta, y que me alegro de haberme enterado tarde porque si no algún artículo habría caído en exámenes y no es muy aconsejable ...
Que lo disfrutéis!
Presentaciones IT Underground Praga 2007 disponibles
Parece ser que llevan bastante tiempo ahí, pero yo solo hace un par de días que las encontré. Creo que a raiz de un correo en Bugtraq, llegué a una presentación de Dror Roecher sobre seguridad en OSPF que aunque no he leído tiene buena pinta. Para quien no lo conozca, OSPF es un protocolo de enrutamiento interior basado en el algoritmo de Dijkstra que trata de utilizar el camino más corto para enrutar.
A partir de la URL de descarga de esta presentación vi que hay unas cuantas más que tienen buena pinta. Se pueden descargar en la página de las conferencias IT Underground Praga 2007 . Hay documentación sobre IDSs, IPSs, metasploit framework, Oracle e incluso señalización SS7.
Por otra parte, esto me recuerda que las presentaciones de BlackHat Inc. también están disponibles aquí y tienen algunas cosillas que pueden resultar interesantes.