/ Config / settings / Keymap / - Ubicación de los keymaps modificados por el usuario. A la derecha, la ventana Keymap muestra una representación de su teclado. Al presionar una tecla, la tecla correspondiente se oscurece y el símbolo asignado se introduce en el campo de texto Muestra y Portapapeles en la parte inferior. Desde allí también se puede copiar y pegar en un documento. Por lo tanto, las preferencias de Keymap no son sólo para configurar el mapa de claves local, sino que también son útiles cuando se busca un símbolo especial utilizado en otros idiomas. Por ejemplo, puede cambiar el mapa de teclado a francés, buscar y copiarlo en su correo a Franois. (Aunque encontrarás el cedil también en otros mapas de teclas.) Presionando las teclas modificadoras como SHIFT. CONTROL o OPTION cambia el teclado visualizado en consecuencia. Luego están las teclas que están marcadas con un fondo azul. Estas llaves se llaman las llaves muertas que pueden cambiar la llave que usted presiona después de eso. Si hace clic en una tecla azul con el ratón, las teclas cambiables se iluminan en amarillo. Haga clic de nuevo y everythings volver a la normalidad. Los ejemplos son,, o. Debajo de la representación del teclado hay dos opciones más: Seleccione las teclas muertas para configurar las teclas azules mencionadas anteriormente. Cambiar la tecla de acceso directo. Para usar la tecla de método abreviado en modo Windows / Linux, es decir, CONTROL (normalmente CTRL) o modo Haiku, es decir, COMANDO (normalmente ALT). Las listas de la izquierda ofrecen los mapas de teclado preconfigurados disponibles del sistema, y por debajo de ellos, si están disponibles, mapas definidos por el usuario. Puede cambiar un mapa de teclado en la representación del teclado: dragampdrop una tecla en otra y cambian de lugar. Alternativamente a este dragampdropping de claves, theres el menú File Set teclas de modificación. Que abre esta ventana: Aquí, puede asignar claves a sus respectivos roles o incluso desactivar completamente el papel de una clave. Incluso puedes asignar la misma clave a diferentes roles, aunque eso no es una buena idea la mayoría del tiempo y se te avisará con un pequeño signo de exclamación junto a los menús emergentes si lo haces. Al pulsar las teclas de modificación Set se aplican los cambios y se cierra la ventana. Cuando termine, puede guardar el resultado del menú Archivo Guardar. Su mapa modificado sólo aparecerá en la lista definida por el usuario si está almacenado en / config / settings / Keymap /. De lo contrario, tendrá que cargarlo manualmente a través de Archivo Abrir. Para combinar mejor el panel de Keymap con su teclado físico, hay varios ajustes disponibles en el menú Layout. La fuente utilizada en la representación del teclado se establece en el menú Fuente. Tenga en cuenta que puede contener o no todos los símbolos de un mapa de teclado específico. Finalmente, hay un botón Revertir para recuperar los ajustes que estaban activos cuando se iniciaron las preferencias de Keymap. Manipulación avanzada del mapa de claves Theres otro método para personalizar su mapa de teclado además del panel de preferencias de Keymap. Se trata de editar un archivo de texto que contiene cargas de valores hexadecimales, que puede parecer desalentador a primera vista, pero no es realmente imposible de entender. Puede volcar el mapa de teclado actual con un comando en Terminal: El archivo de texto generado se puede abrir en un editor de texto. Asegúrese de utilizar una fuente fija en ese editor o youll nunca grok ese archivo. Al principio de ese archivo, encontrará una leyenda de un teclado estilizado con el valor hexadecimal correspondiente a cada tecla. Debajo están las asignaciones reales de cada valor. Usted puede hacer todo el thats de la personalización también disponible del panel de la preferencia del Keymap, y entonces algo. Si tienes algunas teclas especiales en tu teclado, puedes activarlas. Es decir, utilizarlos como claves comunes o como una opción o clave de control. Usted no podrá, por ejemplo, tener sus teclas multimedia de / aumentar el volumen o iniciar alguna aplicación. Para ello, puede utilizar las preferencias de Atajos. Cuando estás acabado, usted guardar el archivo y hacer que su sistema de cargar el mapa de teclado modificado con este comando: Si youd como para importar este mapa de teclas en el panel de configuración de teclado, hay que compilar primero a un formato binario: Esto producirá un mapa de teclado archivo. Out que se puede cargar en Keymap a través de su Open. menú. Por cierto, el comando keymap también puede cargar este formato binario: keymap - l lt keymap. out Este es el archivo descargado (las teclas más a la derecha del teclado estilizado están cortadas para una mejor visualización en esta página): UnBup - McAfee BUP Extractor para Linux Por Tony Lee y Travis Rosiek. En estos días, el antivirus es un deber-tener debido a la ubicuidad de adware, malware, virus y worms8212ye, incluso si está ejecutando una Mac. ) Antivirus hace un buen trabajo capturando la fruta colgando de baja y otras molestias, pero ¿alguna vez te has preguntado qué sucede con los archivos que captura A / V Normalmente, los motores antivirus desactivará el virus sospechoso y luego almacenará una copia inerte (codificada) en Una carpeta de cuarentena para evitar la ejecución accidental. McAfee8217s VirusScan le permitirá restaurar el binario sin embargo en todos los escenarios con VirusScan puede no ser ideal. Este artículo le llevará a través del proceso de recuperar el binario y los metadatos en cuarentena que lo rodean. ¿Por qué desea hacerlo? Potencialmente por las siguientes razones: Usted es un administrador A / V corporativo y A / V ha identificado erróneamente un archivo user8217s Usted es un analista de malware y le gustaría diseccionar el binario detectado Usted es un usuario doméstico y A / V agarró un archivo que quería (creo netcat o una herramienta sysinternals) y la función de restauración no funcionó Como bono, en la parte inferior del artículo, hemos incluido un script de shell bash y (más rápido) script Perl para romper McAfee BUP desde un entorno Linux. Escribimos estos scripts porque no pudimos encontrar una herramienta BUP de Linux. Fue prototipo en bash porque era rápido de codificar y eliminó tantas dependencias como sea posible. Por desgracia, bash bitwise Exclusivo o (XOR) fue demasiado lento y la herramienta fue reescrito en (bien comentado) Perl. En caso de que no esté familiarizado con la operación binaria XOR, una tabla de verdad se proporciona a continuación: Tenga en cuenta que una salida de 1 Sólo se produce para una cantidad impar de 18217s en la entrada. Cómo funciona la desactivación de McAfee McAfee VirusScan, como otros motores antivirus, desactivará el binario y almacenará una copia inerte en una ubicación predefinida. McAfee parece desactivar el binario haciendo lo siguiente: Crea un archivo de texto de metadatos Realiza un XOR bit a bit en el archivo de metadatos y binario con una clave bien conocida (0x6A) Combina el archivo de texto binario y de metadatos original en un solo archivo usando el compuesto de Microsoft8217s Formato de documento Almacena el archivo (con la extensión. BUP) en una carpeta de cuarentena definida por la directiva de Quarantine Manager (por defecto es C: QUARANTINE) Puede comprobar la ruta de la carpeta de cuarentena haciendo clic derecho en McAfee shield - VirusScan Console - Quarantine Manager Policy. Triggering Antivirus para crear un BUP Para esta demostración, usaremos el archivo de prueba para Global Threat Intelligence (GTI), conocido anteriormente como Artemis. Este archivo de prueba es similar al archivo de prueba antivirus EICAR, pero activa una detección heurística para McAfee VirusScan. También puede usar John the Ripper, Cain, netcat, pwdump u otras herramientas comunes de hack para desencadenar un evento A / V. Un enlace directo al archivo de prueba: Si la detección en acceso no detecta el archivo inmediatamente, haga clic con el botón derecho del ratón y escanee para activar una exploración bajo demanda. Inhabilitamos la protección On-Access para ejecutar un hash en el binario y proporcionarlo para su conveniencia. SHA1 normalmente se utilizará como MD5 tiene una probabilidad de colisiones8212, sin embargo, MD5 hashes son suficientes para nuestros fines en esta demo. Ahora, después de volver a habilitar la exploración en acceso y tenemos una detección: Ahora verificamos la carpeta de cuarentena definida en la política de administrador de cuarentena mostrada arriba y eureka Tenemos un archivo. BUP: Si este archivo no se desencadenó, es posible que no tenga GTI Habilitado. Intente activar primero GTI o utilizar otro binario conocido-seguro, pero detectado, para generar el archivo BUP. Extracción del BUP en Windows Requisitos: 7-zip (Se utiliza para descomprimir el formato de documento compuesto de Microsoft) Bit binario XOR tal como: xor. exe Si extrae el BUP en el mismo equipo en el que se está ejecutando su antivirus de McAfee, Deshabilitar la exploración en el acceso o excluir la carpeta de destino de scans. Use 7-zip para extraer el archivo haciendo clic derecho en él, seleccionando 7-Zip, luego Extraer aquí. Los resultados deben ser dos archivos: Detalles File0 Ahora, utilice el binario xor. exe para realizar un XOR bit a bit en contra de la clave (0x6A) para obtener dos nuevos archivos. Siéntase libre de utilizar la siguiente sintaxis en un símbolo del sistema: Si desea restaurar el nombre de archivo original en el binario, basta con ver los metadatos de Details. txt. Los elementos más útiles que vemos en los metadatos son los siguientes: Nombre de detección de A / V - Útil para descubrir más información sobre la detección Principales y menores versiones del motor de A / V - Puede usarse para solucionar por qué algunos hosts detectan y otros fallan Versiones principales y secundarias de A / V DAT - Se puede utilizar para solucionar problemas por los que algunos hosts detectan y otros se pierden Cuando el archivo fue capturado (Campos de creación) - Le ayuda a crear una línea de tiempo si se detecta mediante exploración en tiempo real. Para la línea de tiempo Nombre de archivo original - Con frecuencia revela una buena cantidad de información sobre el fragmento binario de Details. txt: Ahora que tiene el archivo original, puede restaurarlo, invertirlo, o lo que desee su corazón. Pero primero vamos a asegurar que el hash del archivo original coincida con el hash antes de la desactivación. Para completar, también proporcionaremos el hash para Details. txt. Extracción del BUP en Linux Sólo detallamos el proceso para recuperar el binario de un BUP en Windows. Puede realizar este mismo proceso en Linux si tiene 7zip y Wine (se utiliza para ejecutar el binario xor. exe). Sin embargo, el objetivo de esta herramienta era automatizar el proceso, agregar algunas características y eliminar la dependencia de Wine. La herramienta UnBup Lo primero que debe saber acerca de UnBup es el menú de uso: Sin opciones - Produce la opción Details. txt y el binario original - d - Sólo proporciona el archivo Details. txt (Sin binario) - s opción - Produce los Detalles. Txt y el binario, con una extensión de. ex para evitar la ejecución accidental Demo: No Opciones El suministro de UnBup sin opciones y sólo el archivo BUP produce el archivo details. txt y el binario. Tenga en cuenta que los hashes MD5 son los mismos que lo que se vio en la sección de Windows. Demo: La opción - d La opción - d es útil para aquellos que no quieren invertir o cavar en el binario8212 pero quieren un poco más de información alrededor de la detección. Demo: La opción - s La opción - s no es una medida infalible para evitar la ejecución del binario, sin embargo, puede evitar la ejecución accidental. En este caso, ya que estamos extrayendo malware de Windows en un entorno Linux, esto agrega otro nivel de protección, ya que es más difícil (si no imposible) infectar un sistema operativo diferente. Cómo funciona (simplista) Si nos fijamos en el código de bash suministrado a continuación y pensar: 8220Esta debe ser una puerta trasera, no hay manera de que lo voy a ejecutar en mi box82308221, a continuación, la captura de pantalla a continuación se dirige a usted. La matemática binaria en bash era la parte más molesta del proceso, pero era la más importante. El paso para convertir hexadecimal a ASCII es mostrarle la salida legible (no se realiza en la secuencia de comandos) El Shell Script 8211 (SLOW 8211 Es posible que desee usar el código de Perl a continuación) En caso de que la descarga de archivos esté bloqueada, no dude en copiarla y pegarla desde aquí: Nuestro script Perl (MUCHO FASTER 8211 Probablemente quiera usar esto sobre el script de shell) Archivos como el archivo de prueba de Artemis, bash shell scripting funcionó bien. Sin embargo, al procesar archivos ejecutables de mayor tamaño, el proceso XOR era demasiado lento. Buscamos un sencillo script XOR Perl en línea, pero no encontramos nada que se ajuste a lo que estábamos buscando, así que escribimos nuestro propio. Después de escribir el script XOR Perl, convirtimos el script Bash en Perl para acelerar el proceso. Pensamientos finales y desafío de codificación Proporcionamos dos métodos diferentes para extraer una herramienta de McAfee Bup en Linux. Puede que no sea la solución más graciosa, pero funciona y no tardó mucho tiempo en hackear. Sin embargo, estamos buscando opciones que sean útiles para otros. Si usted tiene algunas opciones, por favor siéntase libre de indicar lo que usted encontraría útil. Además, estos scripts (bash y Perl) se ajustan a la factura de us8212 pero no puede satisfacer las necesidades de aquellos que no tienen la utilidad 7zip extractor (bash y perl) o xxd (bash script only). Nuestro desafío para cualquiera que quiera geek out es el siguiente: Reducir las dependencias (No hay necesidad de 7zip o xxd) Codificar en su idioma favorito (python, ruby, C, LUA8230 lo que quieras) Sea tan conciso y claro como sea posible Uno Sugerencia a cualquier persona que consiga comenzado en analizar manualmente el formato: No dude en postear detrás. ) Happy hacking Muchas gracias a Nate Hausrath por su amable correo electrónico que contiene una corrección para el script perl unbup en caso de que el archivo bup no incluya un File0 - también hemos visto esto de vez en cuando: Nice script he hecho un Modificación simple porque encontré que algunos archivos bup didn39t incluyen un File0. Acabo de cambiar CreateDetails a lo siguiente: Sub CreateDetails BupName0 Compruebe si el archivo de texto existe, si no deja que el usuario sepa a menos que (-e quotBupNamequot) imprima quotExtracting archivos codificados de Bupnquot file0test 7z l BupName grep quotFile0quot if (file0test eq quotquot) Print quotFile0 no presente en BupName Esto es un archivo incompleto. nquot exit 0 7z e BupName Extrae los archivos xor codificados (Detalles y Archivo0) print quotCrear los Detalles. txt filenquot XorLoop (quotDetailsquot, quotDetails. txtquot) Llame a la función XorLoop con las variables establecidas Great Artículo, definitivamente me fijó apagado en la dirección correcta pero usted don39t realmente necesita 7zip para extraer archivos de un archivo del bup. Los archivos de Bup son en realidad archivos CBF / OLE no 7zip y pueden manipularse con herramientas OLE estándar. Escribí un script python para extraer archivos bup que no tiene ninguna dependencia fuera de python (no se necesita 7zip). Usted puede encontrar aquí github / herrcore / punbup. Mi script también proporciona la opción de leer el archivo de Detalles sin extraer todo el bup en disk. I utilizaría una función estándar como sscanf para leer la cadena en un entero sin signo, y entonces ya tiene los bytes que necesita en la memoria. Si estuviera en una máquina de endian grande, podría escribir (memcpy) la memoria del entero desde el primer byte distinto de cero. Sin embargo, usted no puede asumir esto con seguridad en general, por lo que puede utilizar un poco de enmascaramiento y desplazamiento para obtener los bytes. Respondió Jun 23 13 at 20:44 Si puede hacer que sus datos se parezcan a este ejemplo, por ejemplo, una matriz de 0x01, 0xA1 Entonces puede iterar su matriz y utilizar sscanf para crear la matriz de valores respondidos Jun 24 13 at 3:40 Is this a Quothintquot o una respuesta ¿Y qué quieres decir con quottry thisquot Funcionará ¿Y es diferente de las respuestas existentes Cómo ndash jogojapan Jun 24 13 at 3:46 jogojapan Estoy feliz de escribir todo el código que realmente lo necesita. ¿Puedes ver la diferencia en el enfoque básico ndash Anand Rathi Jun 24 13 at 4:03 Mi problema es que no entiendo lo que está tratando de decirnos. Hay una pista, hay una cadena (seguido por otra versión de esa cadena con 0x prefijado), y luego una declaración muy breve sobre alguna iteración. El significado de todo esto, esp. En el contexto de las respuestas existentes, no es claro para mí. Esto tendrá un impacto en upvotes / downvotes you39ll obtener para esto. Ndash jogojapan Jun 24 13 at 4:09 I39m no estoy seguro de que la nueva versión está bien. No sscanf de la toma de un puntero a unsigned int en este caso, por lo que pasar un puntero a char podría causar desbordamiento Ver, p. Linux. die. net/man/3/sscanf. Quot x Corresponde a un entero hexadecimal sin signo el siguiente puntero debe ser un puntero a unsigned int. quot. Ndash TooTone Jun 24 13 at 13:57 La dificultad en una conversión de hexadecimal a char es que los dígitos hexagonales trabajan en parejas, f. ex: 3132 o A0FF. Así que se supone un número par de dígitos hexadecimales. Sin embargo, podría ser perfectamente válido tener un número impar de dígitos, como: 332 y AFF, que debe ser entendido como 0332 y 0AFF. Propongo una mejora a Niels Keurentjes hex2bin () función. Primero contamos el número de dígitos hexadecimales válidos. Como tenemos que contar, permite controlar también el tamaño del búfer: Por cierto, para usar isxdigit () tendrás que incluir ltcctypegt. Una vez que sepamos cuántos dígitos, podemos determinar si el primero es el dígito superior (sólo pares) o no (el primer dígito no es un par). Entonces podemos enlazar dígito por dígito, combinando cada par usando bin shift ltlt y bin o, y toggling el indicador alto en cada iteración: Encontré esta pregunta, pero la respuesta aceptada no parecía una forma de C de resolver la tarea para mí ( Esto no significa que es una mala respuesta o algo, explicando simplemente la motivación detrás de la adición de éste). Recuerdo esta buena respuesta y decidí implementar algo similar. Aquí está el código completo de lo que terminé con (también funciona para std :: wstring): Y la salida de ./hex2bytes 61a062a063 hexdump - C: Y de ./hex2bytes 6a062a063 hexdump - C (nota el número impar de caracteres): Respondió Jan 11 14 at 20:37 very nice char2int (). Pero me temo que el resultado no satisface las expectativas cuando con un número impar de dígitos hexadecimales. Por ejemplo, intente con 6a062a063. I39d entender 6 a0 62 a0 63, pero su código hace 6a 06 2a 06 3 fuera de ella. Ndash Christophe Jun 20 14 at 20:40 You39re derecho sobre el número impar de dígitos hexadecimales, Christophe. Gracias que he actualizado el código para manejar este caso bien (por cierto, no es cierto para la respuesta aceptada, aún mejor para manejar esas cadenas). Ndash xaizek Jun 21 14 at 10:53
No comments:
Post a Comment