http://bit.ly/9EkuvX

Y las diapositivas:

- http://bit.ly/b3OLTD (odp)
- http://bit.ly/bJKhKw (ppt)
- http://bit.ly/cSLoZW (pdf)

Nos vemos

he creado una versión del script que consulta virustotal.com desde la línea de comando, aunque lo he diseñado para que pueda ir integrando otros buscadores. De esta idea, nace Malware Hash Checker. Podéis descargarlo desde http://code.google.com/p/virtualminds/

Espero vuestros comentarios y sugerencias

En los próximos días intentaré ir posteando. Ya sabéis que esto va por rachas

Saludos

#!/bin/sh
if [ $# -lt 1 ]; then
echo "Use: $0 table_name [filename]"
exit 1
fi

sed -n "/structure for table \`$1\`/,/UNLOCK TABLES/p" $2

Se puede invocar de dos formas:

extract_table.sh nombre_de_tabla fichero_con_el_dump

o

cat fichero_con_el_dump | extract_table.sh nombre_de_tabla
zcat fichero_con_el_dump.gz | extract_table.sh nombre_de_tabla

Un saludo ]]> http://virtualminds.es/blog/index.php/2009/05/extraer-tabla-de-un-dump-en-mysql.html/feed 0 http://virtualminds.es/blog/index.php/2009/05/mi-correo-no-es-un-ftp.html http://virtualminds.es/blog/index.php/2009/05/mi-correo-no-es-un-ftp.html#comments Fri, 22 May 2009 13:23:32 +0000 Iñaki http://virtualminds.es/wordpress/?p=22 Existe una creciente oleada de personas dispuestas a quejarse porque cuando mandan ficheros de tropecientos megas, el servidor de correo no va bien. Señores, señoras, el correo no es un ftp. Uno al final se cansa de recibir mensajes enormes y muchos de ellos, inútiles. Así que os dejo una pequeñ receta de procmail para evitar saturaros la cuenta con ppt y demás familia:

Saludos

Parece un sin sentido que nuestro gobierno siga desoyendo el clamor popular. Pero aún más ridí­culo parece que desoiga a los jueces. Cuándo se van a dar cuenta que las descargas no son ilegales. Cuánto tiempo tendremos que soportar las campañas producidas con el erario público para llamarnos delincuentes, terroristas, instigadores. Nos relacionan con las mafias, soportamos que hagan comparaciones ridí­culas. Compartir no es robar, es una cuestión puramente matemática. Y aún, cuando compras un dvd, cuando vas al videoclub, el dichoso anuncio te recuerda que, pese a todo, sigues siendo un delincuente, un ser abducido por la oscuridad de tu cuarto y la pantalla de un ordenador.

La verdad, yo sigo sin entender la polí­tica. ¿Esta gente no tiene un gabinete de asesores? A lo mejor están todos descargándose algo ilegal, como Linux. De verdad, por favor, Sr. Zapatero, la cultura es importante, no es sólo una baza electoral. Seguro que se acuerda de muchas de sus promesas con respecto al software libre. O seguro que no. Tómese un café de los suyos, es posible que la memoria se le refresque. Y de paso, vaya ampliando las cárceles porque, visto lo visto, todos vamos a ir a una, desde los que, como yo, usamos aplicaciones P2P hasta los que especulan, urbanizan, malgastan, asesinan, mienten, roban o filman. Porque puestos a criminalizar, al final en este paí­s, no se libre ni el tato.

Nos vemos en la cárcel.

Para no repetir contenido, os dejo un enlace comentando un poco el examen (el DBA I, porque el DBA II fue igual). Os animo a sacaros la certificación, la verdad es que aprendí bastante cosas que no sabía. No sé cómo serán los cursos, en mi caso, dado que necesitaba esta certificación para acceder a la de clustering, lo hice por libre, pero si podéis permitíroslo (que lo paga la empresa, hombre) seguro que os podrán ayudar a pasarlo sin problemas.

Ahora, unas semanas de “relax” y a por la de clustering. Y si alguno va a ir al curso de alta disponibilidad que organiza Warp, allí nos veremos.

Saludos

Pero antes había que pasarla al formato de reglas de yara. Total, que recurrí a un pequeño script que hice. Os lo cuelgo por si a alguien le fuera de utilidad:

http://virtualminds.es/uploads/scripts/yararules.pl

Y el fichero de reglas:

http://virtualminds.es/uploads/scripts/packers.sig.gz -> Fichero de reglas

http://virtualminds.es/uploads/scripts/rules.db.gz -> Correspondencia con los packers

Y aquí es donde nos aprovechamos un poco de ellos. Tengo que decir que antes de publicar el código, consulté con su soporte si había alguna limitación de uso. La única limitación es el número de consultas por ip así que si alguna vez no os funciona, ya sabéis por qué es

El código es bastante simple. Virustotal.com tiene una base de datos de hashes ya procesados y es posible consultar un determinado hash. El código no sube el fichero a virustotal, solo consulta esta base de datos por lo que os podéis encontrar que piezas de malware no son detectadas como tales:

#!/usr/bin/perl

use strict;
use LWP;
use Digest::MD5;
use Getopt::Long;

my $md5 = Digest::MD5->new;
my $virhash;
my $file;
my $hash;

GetOptions  (	"file=s" => \$file,
				"hash=s" => \$hash
			);

if($file && $hash) {
	usage();
	exit 100;
}

if(!$file && !$hash) {
	usage();
	exit 100;
}

if(-f $file) {
	open FILE,$file;
	binmode(FILE);
	$virhash = $md5->addfile(*FILE)->hexdigest;
	print "[HASH] Using MD5 hash $virhash\n";
}
elsif ($hash) {
	$virhash = $hash;
	print "[HASH] Using hash $virhash\n";
}

my $ua = LWP::UserAgent->new;
push @{$ua->requests_redirectable }, 'POST';

my $resp = $ua->post('http://www.virustotal.com/vt/en/consultamd5',[ "hash" =>  $virhash , "x" => 138 , "y" => 24 ]);

if($resp->is_success) {
	my $data = $resp->content;

	$data =~ m,(


),m;
	my $virdata = $1;
	$virdata =~ m,>(\d+)/(\d+) ,;
	if($1 > 0) {
		print "Virus Found ($1/$2)\n";
		exit 1;
	} else {
		print "Virus Not Found\n";
		exit 0;
	}
} else {
	print $resp->status_line;
	exit 100;
}

sub usage () {
	print "$0 (--file fichero | --hash hash)\n";
}

Si puedo y me dejan, dentro de unos días publicaré el código algo más avanzado. Pero para los que tengan iniciativa, diré que Win32::Process::Info es un gran comienzo para sacar la lista de procesos y la ruta del ejecutable asociado.

Hasta pronto!