[hackmeeting] [nodo] Anatomia y escenario de ejecucion de un virus

Sab Sep 27 13:48:07 CEST 2003

(( Gracias por responder Txopi ))

pues esta es la propuesta ( si alguien querria modificarla o incluso colaborar o tal, un mail y podriamos hablarlo, estoy abierto a cualquier cosa ):

0. Modalidad

	charla

1. Dinamizador/autor

	sheroc

2. Titulo(s)

	Anatomia y escenario de ejecucion de un virus

3. Resumen

	- Formato de un ejecutable de win32 ( PE ( Portable Executable ) File Format ).
	- / Esquema del mapa de memoria de un Sistema Operativo
	  \ Modo usuario ( procesos; ring3 ) y modo kernel ( kernel o proceso del sistema; ring0 )
	- Anatomia de un virus tipico
	- Ejecucion de un virus paso a paso usando un debugger ( servira para ver los puntos o partes de un virus comun )

4. Palabras clave (para buscar en internet)

	win32asm/linuxassembly, "LUEVELSMEYER PE File Format", "win32 virus coding"

5. Conocimientos necesarios

	Conceptos básicos de Sistemas Operativos (procesos, nucleo y modo usuario, memoria virtual vs real,...), programacion (sobre todo a bajo nivel -no es necesario, pero si recomendable-).

6. Estructura/contenido

	15 min- Formato de un ejecutable de win32 ( PE ( Portable Executable ) File Format ).

	30 min- / Esquema del mapa de memoria de un Sistema Operativo
		\ Modo usuario ( procesos; ring3 ) y modo kernel ( kernel o proceso del sistema; ring0 )
	NOTA: La idea de estos dos primeros puntos, es tener un esquema mental de todo el SO a grandes rasgos
	      ver la relacion que hay entre el ejecutable en disco y el ejecutable una vez cargado como modulo o parte de un proceso en ejecucion
	20 min- Anatomia de un virus tipico
	30 min- Ejecucion de un virus paso a paso usando un debugger ( servira para ver los puntos o partes de un virus comun )
	10 min- Guia para los que quieran seguir con ello, dudas, ... ( que programas instalar, que camino seguir, herramientas... )

	NOTA: Estos tiempos son mas o menos... seguramente los retocare un poco en los proximos dias.

7. Metodologia: exposicion, discusion, cacharreo, etc.

	Exposicion y seguimiento practico paso a paso, aplicando la teoria.

8. Duracion

	1h45m ( maximo 2h... seria demasiado? :S )

9. Lecturas recomendadas. Para la gente que quiera entrar en el tema antes de ir a la charla.

	[[[ tendria que subirlo o asi ]]] < .TXT con el esquema basico de un virus...
	http://www.win32asm.cjb.net/ < Esto es MASM, estais avisados ;P	NOTA: Muy orientado a programacion GUI, no necesaria en el mundo vx asique... cada uno vera si merece la pena "perder el tiempo" con toda la parte de "ventanitas"... 
	http://spiff.tripnet.se/~iczelion/files/pe1.zip < Documento que explica el formato PE ( los ejecutables de win32 ) ( mirar hasta imports, lo que viene despues no hace falta... )
	http://29a.host.sk/ < 29A e-zine: una buena mina con informacion sobre virus, fuentes, arcticulos,...

10. Material necesario (incluyendo tipo de espacio por si hace falta un espacio abierto sin sillas o lo que sea).

	Ponente: Proyector
	Si los asistentes quisiesen cacharrear antes y alli mismo... como adelanto: un windows 2000 con SoftICE ( o ollydbg ( http://home.t-online.de/home/Ollydbg/ ) que es gratuito -no libre ( excepto su motor ensamblador/desensamblador )- instalado...

11. Preferencias de horarios

	ninguna en especial

12. Seguridad de la asistencia (del 1 al 10)

 	9 ( vamos, que si no tengo algo muy serio... alli estare )

13. Documentación de la charla (si la hay, para colgar en la web del HM)

	Espero dejar una "transparencia" del formato PE algo mas grafico que el de LUEVELSMEYER ) y quiza algo mas ( el .TXT con el esquema basico de un virus mejorado quiza )

Pos eso, hasta pronto,

   sheroc

_________________________________________________________
http://www.latinmail.com.  Gratuito, latino y en español.