“yEnc es un nuevo método de codificación que ofrece transmisión eficiente y adecuada para los binarios en Usenet (O por correo electrónica y otras aplicaciones). Otros métodos de codificación son Base64, BinHex, Uuencode.
yEnc no es un formato de audio (Como MP3), video (Como AVI, MOV, …) o imagen (Como GIF o JPEG).
Las transferencias de noticias y correos electrónico requieren que los binarios adjuntos sean codificados antes de ser enviados. Y son decodificados luego de que han sido recibidos. Normalmente todo esto es hecho por tú lector de noticias (O un programa de mail). No lo ves, es mas, la mayoría no lo sabe.
La codificación es necesaria porque los métodos especiales para transferir noticias y correos (Protocolos) lo requieren. Un mensaje con un binario que no ha sido codificado es dañado durante la transmisión o la transmisión es denegada totalmente.
Transportar mensajes por noticias o correo electrónico fue restringido a carácteres US-ASCII cuando los protocolos fueron escritos (20 años atrás). Estos servicios han sido creados para transportar solo texto plano. Carácteres especiales (Carácteres de control, símbolos, carácteres no imprimibles) estaban prohibidos y eran usados para propósitos especiales. Pero las personas quisieron enviar también adjuntos binarios por las noticias y correos electrónicos, fue así que algunos ‘trucos’ fueron implementados: El binario era cambiado a “carácteres ASCII permitidos” antes de la transmisión (Codificación) y luego al binario luego de la transmisión (Decodificación). Los métodos de codificación aún respetan esas viejas limitaciones y son usados en todas partes.
Desafortunadamente hay un precio por esos ‘trucos’: La codificación hace a un mensaje mas grande. Y no solo un poco, sino 33%-40% mas grandes que el adjunto original. Esto resulta en 33%-40% mas carácteres para el mensaje, 33%-40% mas tiempo de transmisión y 33%-44% mas de espacio en el disco duro donde los mensajes son almacenados.
Mientras tanto, Usenet es capáz de transmitir más que carácteres ASCII permitidos, también podría transportar otros carácteres. Sólo unos pocos carácteres especiales aún están prohibidos. Desafortunadamente las codificaciónes nunca cambiaron. Nosotros seguimos usando BASE64, BinHex, UUencode. Todos desperdiciamos todos los días el ancho de banda, tiempo, espacio de disco duro y dinero.
yEnc es ahora una propuesta de método de codificación que utiliza el hecho de que los servidores de noticias pueden transportar hoy en día binarios mas eficiente. Con los correos electrónicos, la situación es un poco mas complicada porque hay un montón de viejos programas y computadores implicados. Pero también habrán potencial para ahorrar.”
Extraido de http://www.yenc.org/whatis.htm Clic para saber más
Actualizado: Resumen del análisis de frecuencia y reto para el lector.
Esta es la resolución no oficial del reto Crypto Badness 100 de las clasificatorias para “Captura la bandera” de la DefCon
Al ingresar a este reto nos muestran el siguiente texto: ASI JL DUJZTED SA J EJZD JVV NBTODI, VDD FOD AHB VBFD: OFFT://YYY.AHB.MSK/TJMD2/CDN08/NSCD_122908.OFZE, PSQD GSW MWDVV? LS, JNFWJE AHB RWBX.
En este texto podemos observar lo que parece ser una HTTP URL “OFFT://YYY.AHB.MSK”, y su respectivo recurso “/TJMD2/CDN08/NSCD_122908.OFZE”, así que deducimos que se trata de una cifrado por sustitución simple, quiere decir que cada letra del alfabeto se sustituye por otra única letra del alfabeto.
Empezamos con un análisis de frecuencias común y corriente, extraemos las frecuencias en que aparecen los carácteres en el cifrado, y las comparamos con frecuencias ya realizadas, así que el carácter con mayor frecuencia en el texto que nos dieron, lo reemplazamos con el carácter con mayor frecuencia en el inglés (Inglés porque en todos los retos se vió este idioma) Dame más información …
El cliente se compone por ahora de cinco archivos, dos de ellos que son solo para demostrar el funcionamiento del cliente (ircCli.php, ircWeb.php), Cliente.php, ClienteBasico.php y el archivo IrcParser.php.
El código fuente de los cinco archivos puede ser descargado de acá: TheWalrusBot Cliente IRC, cada archivo tiene comentado sus funciones y lo que hace precisamente, recomiendo usar Cliente.php ya que este contiene implementado lo básico del protocolo, mientras que ClienteBasico.php como su nombre lo indica, es lo básico básico, no tiene conexión y no responde a PING. Clic para saber más
Primero que todo, pido disculpas a mis lectores por no actualizar la página casi en dos meses, la razón principal fue el estudio, aparté un rato todo lo que tenía que ver con la informática, pero ahora estoy devuelta con este artículo sobre como ocultar información en los archivos PNG sin dañar su imagen, esta vez se trata de los Chunks, muchas gracias a Hecky por este aporte. Les quedo debiendo el binario que se menciona en este tutorial.
Este artículo también se encuentra en versión PDF para descargar: Esteganografía en PNG - Chunks.pdf
Así mismo pueden ver las anteriores colaboraciones en esta página: Colaboraciones, y si quieres colaborar con nuestra página, puesde ver este enlace!
Tutorial Chunks
Bien, aquí vamos este tipo de esteganografía se realiza en imágenes formato PNG en algo llamado chunks que son como “pedazos” de espacio que hay en la cabecera del PNG.
Todos sabemos que si intentamos meter texto en la cabecera de un PNG este se va a dañar, porque estamos modificando bytes alborotadamente, pero hay un método con el que podemos lograr esto. Aprovechando los chunks y dejando la imagen intacta. Y Antes que nada agradezco a Mighty-D por orientarme en esta técnica. Asi que pasemos a la acción. Continua leyendo …
El siguiente video muestra como, a través de programas, podemos detectar fácilmente comportamientos inusuales en los procesos.
El ejecutable fue descargado de un link proporcionado en Youtube, afirmando que tal programa era totalmente bueno, pueden mirarlo directamente acá: http://www.youtube.com/watch?v=A4mrt9asiIc&feature=related
Más información sobre los programas utilizados
Sysinternals Suite: Contiene los siguientes programas: AccessChk,AccessEnum,AdExplorer,AdRestore,Autologon,Autoruns,BgInfo,CacheSet
ClockRes,Contig,Coreinfo,Ctrl2Cap,DebugView,Desktops,DiskExt,DiskMon,DiskView
DiskUsage(DU),EFSDump,FileMon,Handle,Hex2dec,Junction,LDMDump,ListDLLs,LiveKd
LoadOrder,LogonSessions,NewSid,NTFSInfo,PageDefrag,PendMoves,PipeList,PortMon
ProcessExplorer,Proces Monitor,ProcFeatures,PsExec,PsFile,PsGetSid,PsInfo,PsKill
PsList,PsLoggedOn,PsLogList,PsPasswd,PsService,PsShutdown,PsSuspend,RegDelNull
RegJump,RegMon,RootkitRevealer,SDelete,ShareEnum,ShellRunas,SigCheck,Streams
Strings,Sync,TCPView,VMMap,VolumeID,WhoIs,WinObj,ZoomIt.
He usado los siguientes programas: DiskMon, EFSDump, FileMon, PortMon, Process Explorer, Process monitor, PsExec, RegMon, Rootkit Reavealer, y TCPView, y los recomiendo bastante, son muy útiles, ya cada uno verá el funcionamiento de cada ejecutable.
El link de descarga es el siguiente: http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx
Gracias a Trancek por el aporte.
Smsniff: Es un programa para capturar los paquetes enviados por nuestra red, así podemos observar si se están enviando datos sobre nuestra computadora a un servidor. Puede ser descargado de: http://www.nirsoft.net/utils/smsniff.html
Process Explorer: Es un potente programa que explora los procesos, y nos muestra información acerca de quién maneja los procesos y las DLLs que han sido abiertas o cargadas. Es muy útil en el momento de vigilar el proceso del cual sospechamos, ya que a menudo tiene a abrir otros procesos, los cuales contienen el verdadero virus. Puede ser descargado de la página de Microsoft: http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
