Bài 1 Phòng Chống Phần Mềm Độc Hại Và Virus Máy Tính

Phần mềm độc hại được gọi chung là mã độc, chúng có thể là virus máy tính, worm hay trojan / backdoor được cài cắm vào máy tính của người dùng theo nhiều cách khác nhau.  

Bài giảng :

Virút máy tính

Có nhiều cách phân loại virút, và mỗi cách sẽ có các tập tên phân loại của riêng mình. Sâu máy tính, Virút macro, Trojan và phần mềm 'cửa hậu' là một số loại khá phổ biến. các virút này lây lan qua mạng Internet, qua thư điện tử, từ các trang web độc hại hoặc các phương tiện khác lây nhiễm vào các máy tính không được bảo vệ. Một số khác lây lan thông qua các thiết bị lưu trữ rời cho phép người dùng đọc và ghi thông tin như thẻ nhớ USB và ổ cứng rời. Virút có thể phá hủy, gây hư hại hoặc lây nhiễm vào thông tin trên máy tính của bạn, bao gồm cả dữ liệu trên các ổ cắm rời. Chúng cũng có thể chiếm quyền điều khiển máy tính của bạn và sử dụng vào mục đích tấn công các máy tính khác. Tuy nhiên, điều may mắn là cũng có rất nhiều công cụ diệt virút máy tính giúp bạn tự phòng vệ cho bản thân và những người có giao tiếp điện tử với bạn.

Phần mềm diệt virút

Có nhiều  chương trình diệt virút miễn phí tuyệt vời cho hệ thống Windows như là Comodo, Avira, Avast, ...rất dễ sử dụng, tự động cập nhật và được đánh giá cao bởi các chuyên gia về virút máy tính. Các chương trình yêu cầu phải đăng ký sau 14 tháng hoặc tùy vào chính sách của nhà sản xuất nhưng việc đăng ký, cập nhật và chương trình vẫn hoàn toàn miễn phí.

Thực Hành: Hãy bắt đầu với Hướng dẫn sử dụng và đánh giá về Avast , Comodo...

Clam Win là chương trình nguồn mở miễn phí có thể dùng thay thế Avast và các phần mềm diệt virút thương mại nổi tiếng. Dù nó thiếu một số tính năng quan trọng của một chương trình diệt virút chính.

Clam Win có thể chạy từ thẻ nhớ USB để quét những máy tính không cho phép cài đặt phần mềm. Điều này rất hữu ích khi bạn không có sự lựa chọn khi sử dụng máy tính công cộng hoặc tại các quán cà phê Internet để thực hiện các công việc có tính nhạy cảm. Điểm khác biệt là các bạn có thể sử dụng Clam Win trên các máy chủ.

Những mẹo khi sử dụng chương trình diệt virút

• Không cùng lúc chạy hai chương trình diệt virút, điều đó có thể khiến máy tính của bạn chạy chậm hoặc treo. Hãy gỡ bỏ chương trình cũ trước khi cài đặt chương trình mới.
• Cần đảm bảo rằng chương trình diệt virút của bạn có tính năng cập nhật. Nhiều công cụ thương mại được cài đặt sẵn khi mua máy mới yêu cầu người dùng phải đăng ký (và phải trả phí) hoặc sẽ không cho phép cập nhật nữa. Mọi phần mềm được giới thiệu trong đĩa này đều hỗ trợ cập nhật miễn phí.
• Kiểm tra để đảm bảo rằng chương trình diệt virút của bạn thường xuyên tự cập nhật. Các virút mới được viết và phát tán hàng ngày, máy tính của bạn sẽ dễ bị tấn công nếu không cập nhật danh sách các virút mới. Chương trình Avast sẽ tự động cập nhật khi máy tính của bạn kết nối với Internet.
• Bật tính năng ‘luôn chạy’, nếu có, của chương trình diệt virút. Những công cụ khác nhau sẽ đặt tên tính năng này khác nhau, nhưng đa số đều cung cấp tính năng này. Các tên thường dùng là ‘Bảo vệ Theo Thời gian Thực’ ’Bảo vệ Thường trú,’ hoặc tên gì đó tương tự. 
• Thường xuyên quét kiểm tra các tệp trên máy tính. Bạn không nhất thiết phải quét hàng ngày nhất là khi tính năng ‘luôn chạy’ của chương trình diệt virút được kích hoạt như hướng dẫn ở trên, tuy nhiên việc quét định kỳ là điều nên làm. Bao lâu nên quét virút một lần? câu trả lời là tùy trường hợp. Gần đây bạn có kết nối máy tính vào một mạng khác không? Bạn đã chia sẻ dữ liệu trên ổ USB với những ai? Bạn có hay nhận được những thư lạ có tệp đính kèm?  Hãy tham khảo các bài hướng dẫn và đánh giá của Security365 tại https://www.youtube.com/user/vinhdongduong.

Phòng nhiễm virút máy tính

• Hết sức đề phòng khi mở những tệp đính kèm theo thư điện tử. Tốt nhất tránh mở những tệp đính kèm không rõ nguồn gốc. Nếu bạn cần phải mở, trước hết hãy lưu tệp đính kèm vào một thư mục trên máy tính, và tự mình mở ứng dụng thích hợp (như Microsoft Word hay Adobe Acrobat). Nếu bạn mở tệp từ trình đơn Tệp của ứng dụng thay vì nhấn đúp chuột vào tệp cần mở, khả năng bị lây nhiễm virút sẽ giảm xuống.
• Cân nhắc các rủi ro trước khi cắm các ổ đĩa cắm ngoài, như đĩa CD, thẻ nhớ USB, vào máy tính của bạn. Trước hết cần kiểm tra chương trình diệt virút cài trên máy đã được cập nhật mới nhất và chương trình quét đang chạy. Bạn có thể nên tắt tính năng ‘tự động chạy’ của hệ điều hành, vì virút có thể lợi dụng tính năng này để lây nhiễm.  
• Bạn cũng có thể phòng tránh một số dạng lây nhiễm virút bằng cách chuyển sang sử dụng phần mềm mã nguồn mở, do chúng thường có độ an toàn cao hơn và thường ít bị các chương trình virút tấn công.

Phần mềm gián điệp

1.2. Phần mềm gián điệp

Phần mềm gián điệp là nhóm các phần mềm độc hại có khả năng phát hiện các công việc bạn làm trên máy tính cá nhân hay trên mạng Internet và gửi các thông tin đó cho những kẻ lạ không được phép truy cập thông tin này của bạn. Những phần mềm này có thể ghi lại những gì bạn gõ từ bàn phím, những di chuyển của chuột, những trang web bạn đã ghé thăm và những chương trình bạn đã sử dụng, và nhiều thứ khác nữa. Kết quả là chúng có thể thâm nhập qua hệ thống an ninh máy tính và lấy cắp những thông tin bí mật về bản thân bạn, về các hoạt động cũng như hợp đồng. Cách phần mềm gián điệp lây nhiễm máy tính cũng giống như virút máy tính vì vậy các khuyến nghị được nêu ở phần trên cũng hiệu quả trong việc bảo vệ chống lại loại phần mềm độc hại này. Các trang web độc hại là một nguồn chủ yếu phát tán các loại phần mềm gián điệp, bạn càng cần tăng cường chú ý tới các địa chỉ web bạn truy cập đồng thời đảm bảo các thiết đặt an ninh cho trình duyệt của mình.

Chương trình phòng chống phần mềm gián điệp

Bạn có thể dùng các công cụ phần mềm loại này để giúp máy tính tránh các nguy cơ từ phần mềm gián điệp. Spybot là một trong số đó, nó thực hiện tốt nhiệm vụ xác định và loại bỏ một số loại phần mềm độc hại mà các chương trình diệt virút khác thường bỏ qua. Cũng giống như các chương trình diệt virút khác, việc thường xuyên cập nhật các dạng phần mềm độc hại mới và quét định kỳ là cực kỳ quan trọng.

Thực hành: Bắt đầu với hướng dẫn Spybot

Phòng chống lây nhiễm phần mềm gián điệp

• Hãy cảnh giác khi duyệt các trang web. Chú ý tới bất kỳ một cửa sổ nào tự động hiện lên, và ghi chú nội dung của các website này. Cần đọc kỹ các thông báo từ trình duyệt thay vì chỉ ấn Yes hay OK. Nếu thấy nghi ngờ, cần tắt ngay ‘cửa sổ thông báo’ bằng cách ấn dấu ‘X’ ở phía góc trên bên phải cửa sổ đó, chứ không ấn phím Cancel. Điều này giúp tránh việc một số trang web bẫy bạn để cài đặt các phần mềm độc hại lên máy tính.
• Tăng độ bảo mật của trình duyệt Web của bạn bằng cách không cho phép nó tự động chạy các ứng dụng Java, các điều khiển Active X và các phần tử có tiềm ẩn nguy cơ chứa trong các trang web mà bạn viếng thăm. Nếu bạn sử dụng trình duyệt Firefox của Mozilla, bạn có thể cài đặt thành phần mở rộng NoScript.
• Không chấp nhận hay chạy các chương trình có nguồn gốc từ các trang web mà bạn không biết hay không tin tưởng.

Tường Lửa

Tường lửa là chương trình đầu tiên tiếp nhận luồng dữ liệu từ Internet. Nó cũng là chương trình cuối cùng tiếp quản dữ liệu đi ra bên ngoài. Giống như một nhân viên an ninh, đứng ở cửa tòa nhà, xác định cho phép hay không việc đi vào và đi ra. Thông thường, có một điều quan trọng là bạn cần bảo vệ bản thân trước các kết nối không đáng tin cậy từ mạng Internet và mạng nội bộ, chúng đều đem đến nguy cơ Tin tặc hay virút xâm nhập máy tính của bạn. Giám sát các kết nối xuất phát từ máy tính của bạn cũng không kém phần quan trọng, tuy nhiên lý do có phần phức tạp hơn một chút.

Một tường lửa tốt cho phép bạn thiết đặt quyền truy cập cho từng chương trình trên máy của bạn. Khi một chương trình trong số này tìm cách thiết lập kết nối với thế giới bên ngoài, tường lửa sẽ phong tỏa nỗ lực kết nối này của chương trình và đưa ra cảnh báo cho bạn trừ khi nó nhận diện chương trình đã được xác nhận rằng bạn đã cấp phát quyền cho chương trình thực hiện những kết nối loại này. Điều này giúp ngăn chặn các phần mềm độc hại đang tồn tại tìm cách lan truyền virút hoặc kết nối với Tin tặc xâm nhập máy tính của bạn. Như vậy, tường lửa đóng vai trò vừa là lá chắn bảo vệ thứ hai đồng thời là hệ thống cảnh báo sớm giúp bạn nhận ra khi hệ thống an ninh của máy tính có vấn đề.

Sử dụng tường lửa

Những phiên bản gần đây của Microsoft Windows được tích hợp sẵn một tường lửa, và được tự động bật. Thật không may, chương trình tường lửa của Windows này bị giới hạn nhiều mặt. Ví dụ, nó không kiểm soát các kết nối ra bên ngoài, và đôi lúc khá khó để sử dụng. Tuy nhiên, có một chương trình tường lửa cá nhân miễn phí tuyệt vời là Comodo Firewall, thực hiện tốt hơn việc đảm bảo an ninh cho máy tính của bạn.

Thực hành: Bắt đầu với Hướng dẫn Comodo Firewall

Ngăn chặn những kết nối không đáng tin cậy

• Chỉ nên cài đặt những chương trình cần thiết lên máy tính cho các công việc thiết yếu, và đảm bảo rằng chúng được lấy từ những nguồn có danh tiếng tốt. Gỡ bỏ tất cả các phần mềm bạn không sử dụng.
• Ngắt kết nối với mạng Internet khi bạn không sử dụng và hãy tắt máy tính hoàn toàn khi không sử dụng qua đêm.
• Không chia sẻ mật khẩu máy tính của bạn cho người khác.
• Chắc chắn rằng tất cả máy tính trong mạng văn phòng của bạn đều có cài đặt phần mềm tường lửa.
• Nếu bạn chưa có chương trình tường lửa, hãy cân nhắc việc cài đặt một tường lửa chung để bảo vệ toàn bộ hệ thống mạng cho văn phòng của bạn. Nhiều thiết bị gateways Internet băng rộng có tích hợp sẵn một tường lửa, bật tường lửa này có thể tăng cường đáng kể mức an ninh cho hệ thống mạng của bạn. Nếu bạn không biết bắt đầu từ đâu, có thể tìm kiếm tư vấn từ nhân viên đã từng giúp bạn thiết kế hệ thống mạng.

Giữ cho phần mềm luôn cập nhật

Các chương trình máy tính khá đa dạng và phức tạp. Không thể tránh được việc phần mềm bạn thường sử dụng chứa những lỗi chưa được phát hiện, và những lỗi đó có thể ảnh hưởng tới an toàn của máy tính. Tuy nhiên, các nhà pháp triển phần mềm luôn tìm cách phát hiện và đưa ra các bản vá lỗi. Do vậy việc thường xuyên cập nhật các phần mềm là rất quan trọng, kể cả với hệ điều hành. Nếu chương trình Windows không tự động cập nhật, bạn có thể thiết đặt điều này bằng cách chọn trình đơnStart, chọn All Programs và nhấn chọn Windows Update. Trình duyệt Internet Explorer sẽ được khích hoạt và đưa bạn tới trang Cập nhật của Microsoft và bạn có thể chọn bật tính năng tự động cập nhật phần mềm (Automatic Updates).  

Cập nhật các phần mềm Miễn phí và Nguồn mở

Phần mềm bản quyền thường yêu cầu chứng thực bản quyền hợp pháp trước khi cho phép bạn cài đặt các cập nhật. Lấy ví dụ bạn sử dụng một bản Microsoft Windows lậu, nó có thể không tự cập nhật, điều này khiến cho hệ thống đó rất kém an toàn. Việc sử dụng phần mềm không bản quyền, bạn đã tự đặt mình và những người khác vào những mối đe dọa. Sử dụng phần mềm không bản quyền còn mang lại những nguy cơ khác, phi kỹ thuật.  

Chúng tôi nhấn mạnh việc bạn nên cân nhắc sử dụng các phần mềm miễn phí hay nguồn mở (FOSS) thay thế cho các ứng dụng tương ứng mà bạn đang sử dụng, đặc biệt là các ứng dụng không có bản quyền.  

Nhiều ứng dụng nguồn mở (FOSS) làm việc gần như giống hệt ứng dụng bản quyền tương ứng bởi vì chúng được tạo ra với mục đích thay thế. Bạn có thể sử dụng song song 2 ứng dụng, kể cả hệ điều hành Windows, mà không gặp vấn đề gì. Ngay cả khi đồng nghiệp của bạn đang sử dụng phiên bản thương mại của một phần mềm chuyên dụng, bạn vẫn có thể chia sẻ file và trao đổi dữ liệu với họ khá dễ dàng. Một ví dụ điển hình là bạn có lẽ cân nhắc việc thay thế trình duyệt Internet Explorer, Outlook hay Outlook Express và bộ Microsoft Office bằng Firefox, Thunderbird và OpenOffice, một cách tương ứng.

Thực tế, có thể bạn muốn gỡ bỏ toàn bộ hệ điều hành Microsoft Windows và sử dụng giải pháp nguồn mở thay thế là GNU/Linux. Cách tốt nhất để xem bạn đã sẵn sàng việc chuyển đổi này chưa là dùng thử. Bạn có thể tải về phiên bản chạy trên đĩa CD của hệ điều hành Ubuntu Linux từ Ubuntu website, ghi ra một đĩa CD/DVD, cho vào máy tính và khởi động lại máy. Khi hệ thống khởi động xong, máy tính của bạn sẽ chạy trong môi trường hệ điều hành Linux, và bạn có thể kiểm nghiệm bằng thực tế. Đừng lo lắng, đây chỉ là việc dùng tạm. Khi bạn kết thúc, chỉ cần tắt máy tính, lấy đĩa CD/DVD Ubuntu ra khỏi ổ, lần khởi động tiếp theo máy tính sẽ khởi động từ Windows và mọi ứng dụng, thiết đặt và dữ liệu của bạn sẽ vẫn nguyên như cũ. Ngoài tính năng bảo mật tiên tiến của phần mềm mở, Ubuntu có công cụ cập nhật miễn phí dẽ sử dụng giúp hệ thống và chương trình của bạn an toàn.

Bài giảng :

Read More

Giới Thiệu Chương Trình Đào Tạo AntiHacker Trực Tuyến

Chào mọi người.

Nhằm nâng cao nhận thức và kỹ năng về an toàn thông tin cho người dùng cuối Trung tâm Đào tạo An Toàn Thông Tin SECURITY365 đã xây dựng một chương trình đào tạo có tên gọi là Anti Hacker.

Đây là khóa học về bảo mật thông tin trực tuyến với các bài học được dựng theo cấu trúc của các tài liệu hướng dẫn Hộp An Ninh Số, kèm theo đó là các bài hướng dẫn thực hành của Security365.

Đây là khóa học trực tuyến & miễn phí nên bất kì ai cũng có thể tham gia, chỉ cần có 1 địa chỉ email để đăng kí học. Những nội dung chính của chương trình bao gồm :

• Bảo vệ máy tính khỏi các phần mềm độc hại.
• An ninh vật lý.
• Bảo vệ mật khẩu
• Bảo vệ thông tin bí mật
• Phục hồi dữ liệu bị xóa
• Phá hũy thông tin nhạy cảm
• Bảo mật dữ liệu truyền
• Bảo vệ tính riêng tư khi sử dụng internet
• An toàn cho smart phone
• Bảo vệ thông tin trên các mạng xã hội
• Và các kiến thức bảo mật thông dụng khá như kiểm tra lỗi bảo mật của máy tính, cách vá lỗi ...

Trong quá trình học tập và thực hành nếu có những câu hỏi cần giải đáp các bạn có thể để lại câu hỏi dưới dạng comment trên bài viết của trang web hoặc trên các video bài học và bài giảng được cung cấp qua kênh Youtube. 

Ngoài ra, các bạn có thể gởi tin nhắn nhanh qua Facebook Messenger đến Đông Dương ICT hoặc chat bằng Skype đến nick Nguyen Tran Tuong Vinh.

Read More

Thực Hành - Hướng Dẫn Sử Dụng Comodo Antivirus 7 Quét Mã Độc

Comodo Antivirus 7 là ứng dụng quét virus miễn phi rất mạnh mẽ, có thể phát hiện những chương trình nguy hiểm mà các ứng dụng thương mại không thể tìm ra. Để minh chứng cho ví dụ này chúng tôi đã tiến hành cài đặt và quét thử nghiệm với các tool như KAV, BKAV, AVAST, BIT Defence, Panda Free, ... và kết quả là có 2 ứng dụng có thể dò tìm những chương trình thử nghiệm (đây là các malware rất phổ biến và thường được ac1c hacker sử dụng như trong trường hợp một hacker ở Cần Thơ đã cài vào các máy tính ở phòng internet dùng cho việc DDoS các website, hay các hacker cài vào các máy ở phòng game để lấy cắp thông tin của game thủ).

Vì vậy, trong loạt bài hướng dẫn thực hành của chương trình đào tạo bảo mật thông tin miễn phí Anti Hacker các bạn hãy thử nghiệm và cài đặt Comodo AV 7 cho máy tính của mình. Bài trình bày sau do Instructor Nguyen Vinh thực hiện : (https://www.youtube.com/watch?v=VD5KfxgvOD0)
Channel : https://www.youtube.com/channel/UCGYvWhjyLRC6vLypfCqmUEA

Read More

PackETH - Ethernet Packet Generator

PackETH is GUI and CLI packet generator tool for ethernet. It allows you to create and send any possible packet or sequence of packets on the ethernet link. It is very simple to use, powerful and supports many adjustments of parameters while sending sequence of packets. And lastly, it has the most beautiful web site of all the packet generators.

Features & Video

• you can create and send any ethernet packet. Supported protocols:
• ethernet II, ethernet 802.3, 802.1q, QinQ, user defined ethernet frame
• ARP, IPv4, IPv6, user defined network layer payload
• UDP, TCP, ICMP, ICMPv6, IGMP, user defined transport layer payload
• RTP (payload with options to send sin wave of any frequency for G.711)
• JUMBO frames (if network driver supports it)
• sending sequence of packets
• delay between packets, number of packets to send
• sending with max speed, approaching the theoretical boundary
• change parameters while sending (change IP & mac address, UDP payload, 2 user defined bytes, etc.)
• saving configuration to a file and load from it - pcap format supported

Download PackETH

Read More

NSEarch - Nmap Script Engine Search

NSEarch is a tool that helps you find scripts that are used nmap (NSE) , can be searched using the name or category , it is also possible to see the documentation of the scripts found.

USAGE:

  $ python nsearch.py

Main Menu

Initial Setup

 ================================================
    _   _  _____  _____                     _
   | \ | |/  ___||  ___|                   | |
   |  \| |\ `--. | |__    __ _  _ __   ___ | |__
   | . ` | `--. \|  __|  / _` || '__| / __|| '_ \
   | |\  |/\__/ /| |___ | (_| || |   | (__ | | | |
   \_| \_/\____/ \____/  \__,_||_|    \___||_| |_|
 ================================================
   Version 0.3     |   @jjtibaquira
 ================================================

  Creating Database :nmap_scripts.sqlite3
  Creating Table For Script ....
  Creating Table for Categories ....
  Creating Table for Scripts per Category ....
  Upload Categories to Categories Table ...

Main Console

  ================================================
    _   _  _____  _____                     _
   | \ | |/  ___||  ___|                   | |
   |  \| |\ `--. | |__    __ _  _ __   ___ | |__
   | . ` | `--. \|  __|  / _` || '__| / __|| '_  |
   | |\  |/\__/ /| |___ | (_| || |   | (__ | | | |
   \_| \_/\____/ \____/  \__,_||_|    \___||_| |_|
  ================================================
   Version 0.3     |   @jjtibaquira
  ================================================

  nsearch>

Basic Commands

  ================================================
    _   _  _____  _____                     _
   | \ | |/  ___||  ___|                   | |
   |  \| |\ `--. | |__    __ _  _ __   ___ | |__
   | . ` | `--. \|  __|  / _` || '__| / __|| '_  |
   | |\  |/\__/ /| |___ | (_| || |   | (__ | | | |
   \_| \_/\____/ \____/  \__,_||_|    \___||_| |_|
  ================================================
   Version 0.3     |   @jjtibaquira
  ================================================

  nsearch> help

  Nsearch Commands
  ================
  clear  doc  exit  help  history  last  search

  nsearch>

  ================================================
    _   _  _____  _____                     _
   | \ | |/  ___||  ___|                   | |
   |  \| |\ `--. | |__    __ _  _ __   ___ | |__
   | . ` | `--. \|  __|  / _` || '__| / __|| '_  |
   | |\  |/\__/ /| |___ | (_| || |   | (__ | | | |
   \_| \_/\____/ \____/  \__,_||_|    \___||_| |_|
  ================================================
   Version 0.3     |   @jjtibaquira
  ================================================

  nsearch> help search

  name     : Search by script's name
  category : Search by category
  Usage:
    search name:http
    search category:exploit

  nsearch>

  ================================================
    _   _  _____  _____                     _
   | \ | |/  ___||  ___|                   | |
   |  \| |\ `--. | |__    __ _  _ __   ___ | |__
   | . ` | `--. \|  __|  / _` || '__| / __|| '_  |
   | |\  |/\__/ /| |___ | (_| || |   | (__ | | | |
   \_| \_/\____/ \____/  \__,_||_|    \___||_| |_|
  ================================================
   Version 0.3     |   @jjtibaquira
  ================================================

  nsearch> search name:ssh
  1.ssh-hostkey.nse
  2.ssh2-enum-algos.nse
  3.sshv1.nse
  nsearch>

  ================================================
    _   _  _____  _____                     _
   | \ | |/  ___||  ___|                   | |
   |  \| |\ `--. | |__    __ _  _ __   ___ | |__
   | . ` | `--. \|  __|  / _` || '__| / __|| '_  |
   | |\  |/\__/ /| |___ | (_| || |   | (__ | | | |
   \_| \_/\____/ \____/  \__,_||_|    \___||_| |_|
  ================================================
   Version 0.3     |   @jjtibaquira
  ================================================

  nsearch> doc ssh <TAB>
  ssh-hostkey.nse      ssh2-enum-algos.nse  sshv1.nse
  nsearch> doc sshv1.nse
  local nmap = require "nmap"
  local shortport = require "shortport"
  local string = require "string"

  description = [[
    Checks if an SSH server supports the obsolete and less secure SSH Protocol Version 1.
  ]]
  author = "Brandon Enright"
  nsearch>

Download NSEarch

Read More

The LaZagne Project - Recover most common software passwords (Firefox, IE, Opera, Chrome, Filezilla, winscp, coreFTP, WiFi and many more)

The LaZagne project is an open source application used to retrieve lots of passwords stored on a local computer. Each software stores its passwords using different technics (plaintext, using api, custom algorithms, etc.). This tool has been developped to find these passwords for most common softwares. At this moment, it supports 22 softwares on windows and 12 on a linux plateform.

Usage

• Launch all modules
  
  • cmd: laZagne.exe all
• Launch only a specific module
  
  • cmd: laZagne.exe
  • example: laZagne.exe browsers
  • help: laZagne.exe -h
• Launch only a specific software script
  
  • cmd: laZagne.exe
  • example: laZagne.exe browsers -f
  • help: laZagne.exe browsers -h
• Write all passwords found into a file (-w options)
  
  • cmd: laZagne.exe all -w

Supported softwares

• Windows (tested on Windows XP, 7 and 8 - 32 and 64 bits)
  
  • browsers
    
    • firefox
    • chrome
    • opera
    • ie
  • chats
    
    • skype
    • pidgin
    • jitsi
  • mails
    
    • thunderbird
    • outlook
  • adminsys
    
    • filezilla
    • puttycm
    • winscp
    • cyberduck
    • coreFTP
    • FTPNavigator
  • database
    
    • sqldeveloper
    • squirrel
    • dbvisualizer
  • svn
    
    • tortoise
  • wifi
    
    • Wireless Network Password (Windows mechanism)
  • windows credentials
    
    • Domain visible network (.Net Passport)
    • Generic network credentials
• Linux
  
  • browsers
    
    • firefox
    • opera
  • chats
    
    • pidgin
    • jitsi
  • mails
    
    • thunderbird
  • adminsys
    
    • filezilla
    • environment variables
  • database
    
    • sqldeveloper
    • squirrel
    • dbvisualizer
  • wifi
    
    • network manager
  • wallet
    
    • gnome keyring

IE Browser history

Internet Explorer passwords (from ie7 and before windows 8) can only be decrypted using the URL of the website. This one is used as an argument of the Win32CryptUnprotectData api. So to decrypt it, it is necessary to retreive the browser history of ie. To do that, I have used C code. So I used a dll (the code is on on the "browser_history_dll" directory) and it is directly embedded to the python code as a base64 string (c.f. ie.py). Once launched, the dll is written to the disk, a wrapper is used to call dll functions and then the dll file is removed from the disk.

Build your own password recovery script

It is possible to write your own script for the software of your choice.

To do that, some syntax requirements are needed:

• Create a class using the name of the software
• This class has to have a function called "retrieve_password" (it will be the main function)
• The output containing all passwords has to be send to the "print_output" function - ex: print_output(, password_list)
  • password_list has to be an array of dictionnaries.
• Optional: you could use the function "print_debug" to print your output
  • ex: print_debug("ERROR", "Failed to load ...")
• Use an existing script to understand what I have said :)

If you want to improve this tool, you could send me your script and it will be added to this project (authors will be of course credited on each script ;)).

Requirements

To compile the source code, some external library are required.

• For Windows
  
  • Wconio (for the color)
    
    • http://newcenturycomputers.net/projects/wconio.html
    • http://newcenturycomputers.net/projects/download.cgi/WConio-1.5.win32-py2.7.exe
  • Python for Windows Extensions
    
    • http://sourceforge.net/projects/pywin32/
• For Linux
  • None

Download The LaZagne Project

Read More

SNMP Brute - Fast SNMP brute force, enumeration, CISCO config downloader and password cracking script

SNMP brute force, enumeration, CISCO config downloader and password cracking script. Listens for any responses to the brute force community strings, effectively minimising wait time.

Requirements

• metasploit
• snmpwalk
• snmpstat
• john the ripper

Usage

python snmp-brute.py -t [IP]

Options

--help, -h show this help message and exit

--file=DICTIONARY, -f DICTIONARY Dictionary file

--target=IP, -t IP Host IP

--port=PORT, -p PORT SNMP port

Advanced

--rate=RATE, -r RATE Send rate

--timeout=TIMEOUT Wait time for UDP response (in seconds)

--delay=DELAY Wait time after all packets are send (in seconds)

--iplist=LFILE IP list file

--verbose, -v Verbose output

Automation

--bruteonly, -b Do not try to enumerate - only bruteforce

--auto, -a Non Interactive Mode

--no-colours No colour output

Operating Systems

--windows Enumerate Windows OIDs (snmpenum.pl)

--linux Enumerate Linux OIDs (snmpenum.pl)

--cisco Append extra Cisco OIDs (snmpenum.pl)

Alternative Options

--stdin, -s Read communities from stdin

--community=COMMUNITY, -c COMMUNITY Single Community String to use

--sploitego Sploitego's bruteforce method

Features

• Brute forces both version 1 and version 2c SNMP community strings
• Enumerates information for CISCO devices or if specified for Linux and Windows operating systems.
• Identifies RW community strings
• Tries to download the router config (metasploit module).
• If the CISCO config file is downloaded, shows the plaintext passwords (metasploit module) and tries to crack hashed passords with John the Ripper

Download SNMP Brute

Read More

AppUse - Android Pentest Platform Unified Standalone Environment

AppUse Virtual Machine, developed by AppSec Labs, is a unique (and free) system, a platform for mobile application security testing in the android environment, and it includes unique custom-made tools.

Faster & More Powerful

The system is a blessing to security teams, who from now on can easily perform security tests on Android applications. It was created as a virtual machine targeted for penetration testing teams who are interested in a convenient, personalized platform for android application security testing, for catching security problems and analysis of the application traffic.

Now, in order to test Android applications, all you will need is to download AppUse Virtual Machine, activate it, load your application and test it.

Easy to Use

There is no need for installation of simulators and testing tools, no need for SSL certificates of the proxy software, everything comes straight out of the box pre-installed and configured for an ideal user experience.

Security experts who have seen the machine were very excited, calling it the next ‘BackTrack’ (a famous system for testing security problems), specifically adjusted for Android application security testing.

AppUse VM closes gaps in the world of security, now there is a special and customized testing environment for Android applications; an environment like this has not been available until today, certainly not with the rich format offered today by AppUse VM.

This machine is intended for the daily use of security testers everywhere for Android applications, and is a must-have tool for any security person.

We at AppSec Labs do not stagnate, specifically at a time in which so many cyber attacks take place, we consider it our duty to assist the public and enable quick and effective security testing.

As a part of AppSec Labs’ policy to promote application security in general, and specifically mobile application security, AppUse is offered as a free download on our website, in order to share the knowledge, experience and investment with the data security community.

Features

• New Application Data Section
•  Tree-view of the application’s folder/file structure
•  Ability to pull files
•  Ability to view files
•  Ability to edit files
•  Ability to extract databases
•  Dynamic proxy managed via the Dashboard
•  New application-reversing features
•  Updated ReFrameworker tool
•  Dynamic indicator for Android device status
•  Bugs and functionality fixes

Download AppUse

Read More

WhatsSpy - Trace the moves of a WhatsApp user

WhatsSpy Public is an web-oriented application that tracks every move of whoever you like to follow. This application is setup as an Proof of Concept that Whatsapp is broken in terms of privacy. Once you've setup this application you can track users that you want to follow on Whatsapp. Once it's running it keeps track of the following activities:

• Online/Offline status (even with privacy options set to "nobody")
• Profile pictures
• Privacy settings
• Status messages

I made this project for you to realise how broken the privacy options actually are. It just started out as experimenting with Whatsapp to build an Bot, but I was stunned when I realised someone could abuse this "online" feauture of Whatsapp to track anyone. I could just say this in like a blog article (like I tried but got marked as spam) that the privacy options are broken, but you wouldnt realise the impact it actually has.

Requirements

Shortlist requirements:

• Secondary Whatsapp account (phonenumber that doesn't use Whatsapp)
• Rooted Android phone OR Jailbroken iPhone OR PHP knowledge
• Server/RPi that runs 24/7
• Nginx or Apache with PHP with PDO (php5-pgsql installed) (you can't host on simple webhoster, you need bash)
• Postgresql

Notice

WhatsSpy Public requires an secondary Whatsapp account. Once the tracker is started, you will not be able to recieve any messages over Whatsapp for this phonenumber. You can either try to register an non-Whatsapp used phonenumber with for example this script or just buy an 5 euro SIM Card and use this phonenumber for the tracker.

For the tracker to work you need an secret which is retrieved from either your Phone or the register script mentioned above. In case of phone registration you need an jailbroken iPhone or rooted Android device in order to retrieve the secret.

• Jailbroken iPhone users: You can retrieve using this script.
• Rooted Android phones can use the following APK to retrieve the secret.

In order to retrieve the scecret you need to follow these steps:

• Insert your (new) secondary SIM card in your phone and boot it up.
• Re-install Whatsapp on your phone and activate it using the new phonenumber.
• Use either the APK (Android) or the script (iPhone) to retrieve the WhatsApp secret. Write this secret down, which is required later.
• Insert your normal SIM card and re-install WhatsApp for normal use.

Download WhatsSpy

Read More

Kali Linux 1.1.0 - The Best Penetration Testing Distribution

After almost two years of public development (and another year behind the scenes), we are proud to announce our first point release of Kali Linux – version 1.1.0. This release brings with it a mix of unprecedented hardware support as well as rock solid stability. For us, this is a real milestone as this release epitomizes the benefits of our move from BackTrack to Kali Linux over two years ago. As we look at a now mature Kali, we see a versatile, flexible Linux distribution, rich with useful security and penetration testing related features, running on all sorts of weird and wonderful ARM hardware. But enough talk, here are the goods:

• The new release runs a 3.18 kernel, patched for wireless injection attacks.

• Our ISO build systems are now running off live-build 4.x.

• Improved wireless driver support, due to both kernel and firmware upgrades.

• NVIDIA Optimus hardware support.

• Updated virtualbox-tool, openvm-tools and vmware-tools packages and instructions.

• A whole bunch of fixes and updates from our bug-tracker changelog.

• And most importantly, we changed grub screens and wallpapers!

Upgrade Kali Linux 1.1.0

If you’ve already got Kali Linux installed and running, there’s no need to re-download the image as you can simply update your existing operating system using simple apt commands:

apt-get update
apt-get dist-upgrade

Download Kali Linux 1.1.0

Read More

Dshell - Network Forensic Analysis Framework

An extensible network forensic analysis framework. Enables rapid development of plugins to support the dissection of network packet captures.

Key features:

• Robust stream reassembly
• IPv4 and IPv6 support
• Custom output handlers
• Chainable decoders

Prerequisites

• Linux (developed on Ubuntu 12.04)
• Python 2.7
• pygeoip, GNU Lesser GPL
  • MaxMind GeoIP Legacy datasets
• PyCrypto, custom license
• dpkt, New BSD License
• IPy, BSD 2-Clause License
• pypcap, New BSD License

Installation

1. Install all of the necessary Python modules listed above. Many of them are available via pip and/or apt-get. Pygeoip is not yet available as a package and must be installed with pip or manually. All except dpkt are available with pip.
   1. sudo apt-get install python-crypto python-dpkt python-ipy python-pypcap
   2. sudo pip install pygeoip
2. Configure pygeoip by moving the MaxMind data files (GeoIP.dat, GeoIPv6.dat, GeoIPASNum.dat, GeoIPASNumv6.dat) to /share/GeoIP/
3. Run make. This will build Dshell.
4. Run ./dshell. This is Dshell. If you get a Dshell> prompt, you're good to go!

Basic usage

• decode -l
  • This will list all available decoders alongside basic information about them
• decode -h
  • Show generic command-line flags available to most decoders
• decode -d <decoder>
  • Display information about a decoder, including available command-line flags
• decode -d <decoder> <pcap>
  • Run the selected decoder on a pcap file

Usage Examples

Showing DNS lookups in sample traffic

Dshell> decode -d dns ~/pcap/dns.cap
dns 2005-03-30 03:47:46    192.168.170.8:32795 ->   192.168.170.20:53    ** 39867 PTR? 66.192.9.104 / PTR: 66-192-9-104.gen.twtelecom.net **
dns 2005-03-30 03:47:46    192.168.170.8:32795 ->   192.168.170.20:53    ** 30144 A? www.netbsd.org / A: 204.152.190.12 (ttl 82159s) **
dns 2005-03-30 03:47:46    192.168.170.8:32795 ->   192.168.170.20:53    ** 61652 AAAA? www.netbsd.org / AAAA: 2001:4f8:4:7:2e0:81ff:fe52:9a6b (ttl 86400s) **
dns 2005-03-30 03:47:46    192.168.170.8:32795 ->   192.168.170.20:53    ** 32569 AAAA? www.netbsd.org / AAAA: 2001:4f8:4:7:2e0:81ff:fe52:9a6b (ttl 86340s) **
dns 2005-03-30 03:47:46    192.168.170.8:32795 ->   192.168.170.20:53    ** 36275 AAAA? www.google.com / CNAME: www.l.google.com **
dns 2005-03-30 03:47:46    192.168.170.8:32795 ->   192.168.170.20:53    ** 9837 AAAA? www.example.notginh / NXDOMAIN **
dns 2005-03-30 03:52:17    192.168.170.8:32796 <-   192.168.170.20:53    ** 23123 PTR? 127.0.0.1 / PTR: localhost **
dns 2005-03-30 03:52:25   192.168.170.56:1711  <-      217.13.4.24:53    ** 30307 A? GRIMM.utelsystems.local / NXDOMAIN **
dns 2005-03-30 03:52:17   192.168.170.56:1710  <-      217.13.4.24:53    ** 53344 A? GRIMM.utelsystems.local / NXDOMAIN **

Following and reassembling a stream in sample traffic

Dshell> decode -d followstream ~/pcap/v6-http.cap
Connection 1 (TCP)
Start: 2007-08-05 19:16:44.189852 UTC
  End: 2007-08-05 19:16:44.204687 UTC
2001:6f8:102d:0:2d0:9ff:fee3:e8de:59201 -> 2001:6f8:900:7c0::2:80 (240 bytes)
2001:6f8:900:7c0::2:80 -> 2001:6f8:102d:0:2d0:9ff:fee3:e8de:59201 (2259 bytes)

GET / HTTP/1.0
Host: cl-1985.ham-01.de.sixxs.net
Accept: text/html, text/plain, text/css, text/sgml, */*;q=0.01
Accept-Encoding: gzip, bzip2
Accept-Language: en
User-Agent: Lynx/2.8.6rel.2 libwww-FM/2.14 SSL-MM/1.4.1 OpenSSL/0.9.8b

HTTP/1.1 200 OK
Date: Sun, 05 Aug 2007 19:16:44 GMT
Server: Apache
Content-Length: 2121
Connection: close
Content-Type: text/html

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<html>
 <head>
  <title>Index of /</title>
 </head>
 <body>
<h1>Index of /</h1>
<pre><img src="/icons/blank.gif" alt="Icon "> <a href="?C=N;O=D">Name</a>                    <a href="?C=M;O=A">Last modified</a>      <a href="?C=S;O=A">Size</a>  <a href="?C=D;O=A">Description</a><hr><img src="/icons/folder.gif" alt="[DIR]"> <a href="202-vorbereitung/">202-vorbereitung/</a>       06-Jul-2007 14:31    -   
<img src="/icons/layout.gif" alt="[   ]"> <a href="Efficient_Video_on_demand_over_Multicast.pdf">Efficient_Video_on_d..&gt;</a> 19-Dec-2006 03:17  291K  
<img src="/icons/unknown.gif" alt="[   ]"> <a href="Welcome%20Stranger!!!">Welcome Stranger!!!</a>     28-Dec-2006 03:46    0   
<img src="/icons/text.gif" alt="[TXT]"> <a href="barschel.htm">barschel.htm</a>            31-Jul-2007 02:21   44K  
<img src="/icons/folder.gif" alt="[DIR]"> <a href="bnd/">bnd/</a>                    30-Dec-2006 08:59    -   
<img src="/icons/folder.gif" alt="[DIR]"> <a href="cia/">cia/</a>                    28-Jun-2007 00:04    -   
<img src="/icons/layout.gif" alt="[   ]"> <a href="cisco_ccna_640-801_command_reference_guide.pdf">cisco_ccna_640-801_c..&gt;</a> 28-Dec-2006 03:48  236K  
<img src="/icons/folder.gif" alt="[DIR]"> <a href="doc/">doc/</a>                    19-Sep-2006 01:43    -   
<img src="/icons/folder.gif" alt="[DIR]"> <a href="freenetproto/">freenetproto/</a>           06-Dec-2006 09:00    -   
<img src="/icons/folder.gif" alt="[DIR]"> <a href="korrupt/">korrupt/</a>                03-Jul-2007 11:57    -   
<img src="/icons/folder.gif" alt="[DIR]"> <a href="mp3_technosets/">mp3_technosets/</a>         04-Jul-2007 08:56    -   
<img src="/icons/text.gif" alt="[TXT]"> <a href="neues_von_rainald_goetz.htm">neues_von_rainald_go..&gt;</a> 21-Mar-2007 23:27   31K  
<img src="/icons/text.gif" alt="[TXT]"> <a href="neues_von_rainald_goetz0.htm">neues_von_rainald_go..&gt;</a> 21-Mar-2007 23:29   36K  
<img src="/icons/layout.gif" alt="[   ]"> <a href="pruef.pdf">pruef.pdf</a>               28-Dec-2006 07:48   88K  
<hr></pre>
</body></html>

Chaining decoders to view flow data for a specific country code in sample traffic (note: TCP handshakes are not included in the packet count)

Dshell> decode -d country+netflow --country_code=JP ~/pcap/SkypeIRC.cap
2006-08-25 19:32:20.651502       192.168.1.2 ->  202.232.205.123  (-- -> JP)  UDP   60583   33436     1      0       36        0  0.0000s
2006-08-25 19:32:20.766761       192.168.1.2 ->  202.232.205.123  (-- -> JP)  UDP   60583   33438     1      0       36        0  0.0000s
2006-08-25 19:32:20.634046       192.168.1.2 ->  202.232.205.123  (-- -> JP)  UDP   60583   33435     1      0       36        0  0.0000s
2006-08-25 19:32:20.747503       192.168.1.2 ->  202.232.205.123  (-- -> JP)  UDP   60583   33437     1      0       36        0  0.0000s

Collecting netflow data for sample traffic with vlan headers, then tracking the connection to a specific IP address

Dshell> decode -d netflow ~/pcap/vlan.cap
1999-11-05 18:20:43.170500    131.151.20.254 ->  255.255.255.255  (US -> --)  UDP     520     520     1      0       24        0  0.0000s
1999-11-05 18:20:42.063074     131.151.32.71 ->   131.151.32.255  (US -> US)  UDP     138     138     1      0      201        0  0.0000s
1999-11-05 18:20:43.096540     131.151.1.254 ->  255.255.255.255  (US -> --)  UDP     520     520     1      0       24        0  0.0000s
1999-11-05 18:20:43.079765     131.151.5.254 ->  255.255.255.255  (US -> --)  UDP     520     520     1      0       24        0  0.0000s
1999-11-05 18:20:41.521798    131.151.104.96 ->  131.151.107.255  (US -> US)  UDP     137     137     3      0      150        0  1.5020s
1999-11-05 18:20:43.087010     131.151.6.254 ->  255.255.255.255  (US -> --)  UDP     520     520     1      0       24        0  0.0000s
1999-11-05 18:20:43.368210   131.151.111.254 ->  255.255.255.255  (US -> --)  UDP     520     520     1      0       24        0  0.0000s
1999-11-05 18:20:43.250410    131.151.32.254 ->  255.255.255.255  (US -> --)  UDP     520     520     1      0       24        0  0.0000s
1999-11-05 18:20:43.115330    131.151.10.254 ->  255.255.255.255  (US -> --)  UDP     520     520     1      0       24        0  0.0000s
1999-11-05 18:20:43.375145   131.151.115.254 ->  255.255.255.255  (US -> --)  UDP     520     520     1      0       24        0  0.0000s
1999-11-05 18:20:43.363348   131.151.107.254 ->  255.255.255.255  (US -> --)  UDP     520     520     1      0       24        0  0.0000s
1999-11-05 18:20:40.112031      131.151.5.55 ->    131.151.5.255  (US -> US)  UDP     138     138     1      0      201        0  0.0000s
1999-11-05 18:20:43.183825     131.151.32.79 ->   131.151.32.255  (US -> US)  UDP     138     138     1      0      201        0  0.0000s

Download Dshell

Read More

Dirs3arch v0.3.0 - HTTP(S) Directory/File Brute Forcer

dirs3arch is a simple command line tool designed to brute force hidden directories and files in websites.

It's written in python3 3 and all thirdparty libraries are included.

Operating Systems supported

• Windows XP/7/8
• GNU/Linux
• MacOSX

Features

• Multithreaded
• Keep alive connections
• Support for multiple extensions (-e|--extensions asp,php)
• Reporting (plain text, JSON)
• Detect not found web pages when 404 not found errors are masked (.htaccess, web.config, etc).
• Recursive brute forcing
• HTTP(S) proxy support
• Batch processing (-L)

Examples

• Scan www.example.com/admin/ to find php files:
  

  python3 dirs3arch.py -u http://www.example.com/admin/ -e php

• Scan www.example.com to find asp and aspx files with SSL:
  

  python3 dirs3arch.py -u https://www.example.com/ -e asp,aspx

• Scan www.example.com with an alternative dictionary (from DirBuster):
  

  python3 dirs3arch.py -u http://www.example.com/ -e php -w db/dirbuster/directory-list-2.3-small.txt

• Scan with HTTP proxy (localhost port 8080):
  

  python3 dirs3arch.py -u http://www.example.com/admin/ -e php --http-proxy localhost:8080

• Scan with custom User-Agent and custom header (Referer):
  

  python3 dirs3arch.py -u http://www.example.com/admin/ -e php --user-agent "My User-Agent" --header "Referer: www.google.com"

• Scan recursively:
  

  python3 dirs3arch.py -u http://www.example.com/admin/ -e php -r

• Scan recursively excluding server-status directory and 200 status codes:
  

  python3 dirs3arch.py -u http://www.example.com/ -e php -r --exclude-subdir "server-status" --exclude-status 200

• Scan includes, classes directories in /admin/
  

  python3 dirs3arch.py -u http://www.example.com/admin/ -e php --scan-subdir "includes, classes"

• Scan without following HTTP redirects:
  

  python3 dirs3arch.py -u http://www.example.com/ -e php --no-follow-redirects

• Scan VHOST "backend" at IP 192.168.1.1:
  

  python3 dirs3arch.py -u http://backend/ --ip 192.168.1.1

• Scan www.example.com to find wordpress plugins:
  

  python3 dirs3arch.py -u http://www.example.com/wordpress/wp-content/plugins/ -e php -w db/wordpress/plugins.txt

  
  
• Batch processing:
  

  python3 dirs3arch.py -L urllist.txt -e php

  
  

Thirdparty code

• colorama
• oset
• urllib3
• sqlmap

Changelog

• 0.3.0 - 2015.2.5 Fixed issue3, fixed timeout exception, ported to python33, other bugfixes
• 0.2.7 - 2014.11.21 Added Url List feature (-L). Changed output. Minor Fixes
• 0.2.6 - 2014.9.12 Fixed bug when dictionary size is greater than threads count. Fixed URL encoding bug (issue2).
• 0.2.5 - 2014.9.2 Shows Content-Length in output and reports, added default.conf file (for setting defaults) and report auto save feature added.
• 0.2.4 - 2014.7.17 Added Windows support, --scan-subdir|--scan-subdirs argument added, --exclude-subdir|--exclude-subdirs added, --header argument added, dirbuster dictionaries added, fixed some concurrency bugs, MVC refactoring
• 0.2.3 - 2014.7.7 Fixed some bugs, minor refactorings, exclude status switch, "pause/next directory" feature, changed help structure, expaded default dictionary
• 0.2.2 - 2014.7.2 Fixed some bugs, showing percentage of tested paths and added report generation feature
• 0.2.1 - 2014.5.1 Fixed some bugs and added recursive option
• 0.2.0 - 2014.1.31 Initial public release

Download Dirs3arch

Read More

Softavir - Antivirus for Windows based on Whitelists

SoftAvir is a security tool that ensures complete protection for your computer by creating a whitelist. The user select the only programs that can be run avoiding in this way the execution of any other unwanted program.

How does it work?

Softavir is the first antimalware solution that relies operation in advanced cryptographic whitelisting technology.

After installed, the user must add the programs that can be run. Softavir will not allow the execution of any program that has not been added to the list (including viruses, tojans and other malware).

Who is it for?

Softavir is recommended to Microsoft Windows users. The current version is compatible with Microsoft Windows x86 operating systems. Soon will come out a version for Microsoft Windows x64 operating systems.

Main advantages:

• 100% protection against new threats.
• Does not require updates.
• Improved software management.
• Easy maintenance of your equipment.
• Avoids the need of regular formatting.

Download Softavir

Read More

SUMo - Software Update Monitor

SUMo (Software Update Monitor) keeps your PC up-to-date & safe by using the most recent version of your favorite software !

Unlike built-in auto update features, SUMo tells you if updates are available before you need to use your software.

Features

• Automatic detection of installed software
• Detects required updates / patchs for your software
• Detects required drivers update (requires DUMo)
• Filter / authorize Beta versions (user setting)
• Ignore list : only tracks software YOU want to track
• More compatibility and less false positive than others Update Monitors (according to users feedback ;-)
• Internationalization support.

Download SUMo

Read More

IP Thief - Simple IP Stealer in PHP

A simple PHP script to capture the IP address of anyone that send the "imagen.php" file with the following options:

[+] It comes with an administrator to view and delete IP

[+] You can change the redirect URL image

[+] Can you see the country of the visitor

Download IP Thief

Read More

Socat - Multipurpose relay (SOcket CAT)

Socat is a utility similar to the venerable Netcat that works over a number of protocols and through a files, pipes, devices (terminal or modem, etc.), sockets (Unix, IP4, IP6 - raw, UDP, TCP), a client for SOCKS4, proxy CONNECT, or SSL, etc. It provides forking, logging, and dumping, different modes for interprocess communication, and many more options. It can be used, for example, as a TCP relay (one-shot or daemon), as a daemon-based socksifier, as a shell interface to Unix sockets, as an IP6 relay, for redirecting TCP-oriented programs to a serial line, or to establish a relatively secure environment (su and chroot) for running client or server shell scripts with network connections.

Socat is a command line based utility that establishes two bidirectional byte streams and transfers data between them. Because the streams can be constructed from a large set of different types of data sinks and sources (see address types), and because lots of address options may be applied to the streams, socat can be used for many different purposes.

Filan is a utility that prints information about its active file descriptors to stdout. It has been written for debugging socat, but might be useful for other purposes too. Use the -h option to find more infos.

Procan is a utility that prints information about process parameters to stdout. It has been written to better understand some UNIX process properties and for debugging socat, but might be useful for other purposes too.

The life cycle of a socat instance typically consists of four phases.

In the init phase, the command line options are parsed and logging is initialized.

During the open phase, socat opens the first address and afterwards the second address. These steps are usually blocking; thus, especially for complex address types like socks, connection requests or authentication dialogs must be completed before the next step is started.

In the transfer phase, socat watches both streams' read and write file descriptors via select(), and, when data is available on one side andcan be written to the other side, socat reads it, performs newline character conversions if required, and writes the data to the write file descriptor of the other stream, then continues waiting for more data in both directions.

When one of the streams effectively reaches EOF, the closing phase begins. Socat transfers the EOF condition to the other stream, i.e. tries to shutdown only its write stream, giving it a chance to terminate gracefully. For a defined time socat continues to transfer data in the other direction, but then closes all remaining channels and terminates.

OPTIONS

Socat provides some command line options that modify the behaviour of the program. They have nothing to do with so called address options that are used as parts of address specifications.

-V

Print version and available feature information to stdout, and exit.

-h | -?

Print a help text to stdout describing command line options and available address types, and exit.

-hh | -??

Like -h, plus a list of the short names of all available address options. Some options are platform dependend, so this output is helpful for checking the particular implementation.

-hhh | -???

Like -hh, plus a list of all available address option names.

-d

Without this option, only fatal and error messages are generated; applying this option also prints warning messages. See DIAGNOSTICS for more information.

-d -d

Prints fatal, error, warning, and notice messages.

-d -d -d

Prints fatal, error, warning, notice, and info messages.

-d -d -d -d

Prints fatal, error, warning, notice, info, and debug messages.

-D

Logs information about file descriptors before starting the transfer phase.

-ly[<facility>]

Writes messages to syslog instead of stderr; severity as defined with -d option. With optional <facility>, the syslog type can be selected, default is "daemon". Third party libraries might not obey this option.

-lf <logfile>

Writes messages to <logfile> [filename] instead of stderr. Some third party libraries, in particular libwrap, might not obey this option.

-ls

Writes messages to stderr (this is the default). Some third party libraries might not obey this option, in particular libwrap appears to only log to syslog.

-lp<progname>

Overrides the program name printed in error messages and used for constructing environment variable names.

-lu

Extends the timestamp of error messages to microsecond resolution. Does not work when logging to syslog.

-lm[<facility>]

Mixed log mode. During startup messages are printed to stderr; when socat starts the transfer phase loop or daemon mode (i.e. after opening all streams and before starting data transfer, or, with listening sockets with fork option, before the first accept call), it switches logging to syslog. With optional <facility>, the syslog type can be selected, default is "daemon".

-lh

Adds hostname to log messages. Uses the value from environment variable HOSTNAME or the value retrieved with uname() if HOSTNAME is not set.

-v

Writes the transferred data not only to their target streams, but also to stderr. The output format is text with some conversions for readability, and prefixed with "> " or "< " indicating flow directions.

-x

Writes the transferred data not only to their target streams, but also to stderr. The output format is hexadecimal, prefixed with "> " or "< " indicating flow directions. Can be combined with -v.

-b<size>

Sets the data transfer block <size> [size_t]. At most <size> bytes are transferred per step. Default is 8192 bytes.

-s

By default, socat terminates when an error occurred to prevent the process from running when some option could not be applied. With this option, socat is sloppy with errors and tries to continue. Even with this option, socat will exit on fatals, and will abort connection attempts when security checks failed.

-t<timeout>

When one channel has reached EOF, the write part of the other channel is shut down. Then, socat waits <timeout> [timeval] seconds before terminating. Default is 0.5 seconds. This timeout only applies to addresses where write and read part can be closed independently. When during the timeout interval the read part gives EOF, socat terminates without awaiting the timeout.

-T<timeout>

Total inactivity timeout: when socat is already in the transfer loop and nothing has happened for <timeout> [timeval] seconds (no data arrived, no interrupt occurred...) then it terminates. Useful with protocols like UDP that cannot transfer EOF.

-u

Uses unidirectional mode. The first address is only used for reading, and the second address is only used for writing (example).

-U

Uses unidirectional mode in reverse direction. The first address is only used for writing, and the second address is only used for reading.

-g

During address option parsing, don't check if the option is considered useful in the given address environment. Use it if you want to force, e.g., appliance of a socket option to a serial device.

-L<lockfile>

If lockfile exists, exits with error. If lockfile does not exist, creates it and continues, unlinks lockfile on exit.

-W<lockfile>

If lockfile exists, waits until it disappears. When lockfile does not exist, creates it and continues, unlinks lockfile on exit.

-4

Use IP version 4 in case that the addresses do not implicitly or explicitly specify a version; this is the default.

-6

Use IP version 6 in case that the addresses do not implicitly or explicitly specify a version. 

Download Socat

Read More

AppCrashView - View Application Crashes (.wer files)

AppCrashView is a small utility for Windows Vista and Windows 7 that displays the details of all application crashes occurred in your system. The crashes information is extracted from the .wer files created by the Windows Error Reporting (WER) component of the operating system every time that a crash is occurred. AppCrashView also allows you to easily save the crashes list to text/csv/html/xml file.

System Requirements

For now, this utility only works on Windows Vista, Windows 7, and Windows Server 2008, simply because the earlier versions of Windows don't save the crash information into .wer files. It's possible that in future versions, I'll also add support for Windows XP/2000/2003 by using Dr. Watson (Drwtsn32.exe) or other debug component that capture the crash information.

Using AppCrashView

AppCrashView doesn't require any installation process or additional dll files. In order to start using it, simply run the executable file - AppCrashView.exe The main window of AppCrashView contains 2 pane. The upper pane displays the list of all crashes found in your system, while the lower pane displays the content of the crash file that you select in the upper pane.

You can select one or more crashes in the upper pane, and then save them (Ctrl+S) into text/html/xml/csv file or copy them to the clipboard ,and paste them into Excel or other spreadsheet application.

Command-Line Options

/ProfilesFolder <Folder>	Specifies the user profiles folder (e.g: c:\users) to load. If this parameter is not specified, the profiles folder of the current operating system is used.
/ReportsFolder <Folder>	Specifies the folder that contains the WER files you wish to load.
/ShowReportQueue <0 | 1>	Specifies whether to enable the 'Show ReportQueue Files' option. 1 = enable, 0 = disable
/ShowReportArchive <0 | 1>	Specifies whether to enable the 'Show ReportArchive Files' option. 1 = enable, 0 = disable
/stext <Filename>	Save the list of application crashes into a regular text file.
/stab <Filename>	Save the list of application crashes into a tab-delimited text file.
/scomma <Filename>	Save the list of application crashes into a comma-delimited text file (csv).
/stabular <Filename>	Save the list of application crashes into a tabular text file.
/shtml <Filename>	Save the list of application crashes into HTML file (Horizontal).
/sverhtml <Filename>	Save the list of application crashes into HTML file (Vertical).
/sxml <Filename>	Save the list of application crashes into XML file.
/sort <column>	This command-line option can be used with other save options for sorting by the desired column. If you don't specify this option, the list is sorted according to the last sort that you made from the user interface. The <column> parameter can specify the column index (0 for the first column, 1 for the second column, and so on) or the name of the column, like "Event Name" and "Process File". You can specify the '~' prefix character (e.g: "~Event Time") if you want to sort in descending order. You can put multiple /sort in the command-line if you want to sort by multiple columns. Examples: AppCrashView.exe /shtml "f:\temp\crashlist.html" /sort 2 /sort ~1 AppCrashView.exe /shtml "f:\temp\crashlist.html" /sort "Process File"
/nosort	When you specify this command-line option, the list will be saved without any sorting.

Download AppCrashView

Read More

PhEmail - Automate Sending Phishing Emails

PhEmail is a python open source phishing email tool that automates the process of sending phishing emails as part of a social engineering test. The main purpose of PhEmail is to send a bunch of phishing emails and prove who clicked on them without attempting to exploit the web browser or email client but collecting as much information as possible. PhEmail comes with an engine to garther email addresses through LinkedIN, useful during the information gathering phase. Also, this tool supports Gmail authentication which is a valid option in case the target domain has blacklisted the source email or IP address. Finally, this tool can be used to clone corporate login portals in order to steal login credentials.

Usage

PHishing EMAIL tool v0.13
Usage: phemail.py [-e <emails>] [-m <mail_server>] [-f <from_address>] [-r <replay_address>] [-s <subject>] [-b <body>]
          -e    emails: File containing list of emails (Default: emails.txt)
          -f    from_address: Source email address displayed in FROM field of the email (Default: Name Surname <name_surname@example.com>)
          -r    reply_address: Actual email address used to send the emails in case that people reply to the email (Default: Name Surname <name_surname@example.com>)
          -s    subject: Subject of the email (Default: Newsletter)
          -b    body: Body of the email (Default: body.txt)
          -p    pages: Specifies number of results pages searched (Default: 10 pages)
          -v    verbose: Verbose Mode (Default: false)
          -l    layout: Send email with no embedded pictures 
          -B    BeEF: Add the hook for BeEF
          -m    mail_server: SMTP mail server to connect to
          -g    Google: Use a google account username:password
          -t    Time delay: Add deleay between each email (Default: 3 sec)
          -R    Bunch of emails per time (Default: 10 emails)
          -L    webserverLog: Customise the name of the webserver log file (Default: Date time in format "%d_%m_%Y_%H_%M")
          -S    Search: query on Google
          -d    domain: of email addresses
          -n    number: of emails per connection (Default: 10 emails)
          -c    clone: Clone a web page
          -w    website: where the phishing email link points to
          -o    save output in a file
          -F    Format (Default: 0): 
                0- firstname surname
                1- firstname.surname@example.com
                2- firstnamesurname@example.com
                3- f.surname@example.com
                4- firstname.s@example.com
                5- surname.firstname@example.com
                6- s.firstname@example.com
                7- surname.f@example.com
                8- surnamefirstname@example.com
                9- firstname_surname@example.com 

Examples: phemail.py -e emails.txt -f "Name Surname <name_surname@example.com>" -r "Name Surname <name_surname@example.com>" -s "Subject" -b body.txt
          phemail.py -S example -d example.com -F 1 -p 12
          phemail.py -c https://example.com

Disclaimer

Usage of PhEmail for attacking targets without prior mutual consent is illegal. It is the end user's responsibility to obey all applicable local, state and federal laws. Developers assume NO liability and are NOT responsible for any misuse or damage caused by this program.

Download PhEmail

Read More