Código

Técnicas de inyección de código en Windows

Inyección de código

En este repositorio de Github se recogen varias ténicas de inyección de código en entornos Windows. Las técnicas muestran cómo crear un programa que cuando se ejecuta, éste es capaz de infectar e inyectar nuestro código en otro proceso que está corriendo en memoria.

Actualmente describe 4 formas de inyección:

CreatePatched : esta técnica sobreescribe con nuestro código, el punto de entrada de un proceso que inicialmente es iniciado en modo suspendido.

Microhistorias: la pantalla de la muerte (kill screen) de otro juego clásico, Galaga, y como superarla

Galaga, foto Wikipedia

La mayoría de juegos clásicos arcade tienen su propia kill screen. Normalmente aparece cuando hemos llegado a un nivel 255 y pasamos al 256, dando en casi todos los casos errores del tipo overflow con resultados inesperados y muy curiosos. En CyberHades ya hemos hablado de algunas como la del mítico Pac-Man y Donkey Kong. Pero lo mejor es que hay gente muy geek que no se ha conformado con llegar a estas pantallas y ver qué ocurre, también han encontrado soluciones a nivel de código (la mayoría modificando el emulador MAME) para poder superarlas.

Ingeniería inversa y volcado de la ROM de un Tamagotchi

Vídeo de Natalie Silvanovich en la 29c3 de 2012

Esto nos mola ;) , Retro + Hacking. Si quieres saber todos los secretos que escondía este legendario juguete, no te pierdas este artículo de Natalie Silvanovich.

En él nos cuenta que ha escrito un programa en ensamblador 6502 para volcar cada byte de la memoria ROM del Tamagotchi y sacarlos por el puerto A (un botón de entrada) usando SPI. Natalie ya tiene experiencia en esto de programar para los Tamagotchi, aquí tienes otro artículo suyo donde explica cómo lo consigue.

Intro original de Star Wars en HTML, CSS y JavaScript

En este enlace o haciendo click en la imagen que encabeza este post, puedes verlo en ejecución con su código fuente correspondiente en HTML, CSS y JavaScript.

Cydia Substrate, plataforma de modificación de código de aplicaciones

Según la wikipedia: Cydia es una aplicación de software para iOS que permite la gestión de paquetes dpkg mediante una interfaz gráfica como “saurik”). Cydia fue lanzado originalmente como una alternativa de código abierto para Installer.app en iOS 1.1.x, pero rápidamente se convirtió en el gestor de paquetes más popular desde la liberación del iOS 2.0 Su nombre se basa en el gusano común de la manzana, Cydia pomonella para hacer referencia de que es un programa tipo “gusano” que se mete dentro de los dispositivos de Apple, o sea, la manzana.

Er docu der finde: Secretos de la Segunda Guerra Mundial - El código Enigma

Liberado el código fuente de PaCifiST

PaCifiST fue el primer emulador de Atari ST capaz de emular el software del mismo en tiempo real. La última versión que se liberó de éste fue la 0.49b en 1998, aunque según parece el código fuente que se ha liberado se corresponde a una versión anterior. Lo malo de esta versión es que no actualmente no compila, más concretamente es la emulación MFP (Multifunction Peripheral) es el módulo que esta roto. Aparte de eso el resto del código fuente esta disponible y está escrito en C y ensamblador. Puedes acceder al mismo desde aquí.

Clippy (Clipo) ha vuelto para quedarse, como usarlo en tu página web, WTF!

Seguro que echabas de menos a Clippy (Clipo en español), ese "simpático" clip llamado también Microsoft Agent que aparecía en Office 97 (y que duró hasta el Office 2003) cuando, en teoría, lo necesitaba el usuario. El pobre Clipo fue machacado en su época por su habilidad de aparecer justo cuando menos lo necesitabas, una de las parodias es Vigor, un pluggin para vi que incluía un asistente que era como Clipo, un clip. Lo que ocurre es que no ofrecía ayuda o la que ofrecía no era útil. Por ejemplo si querías mover el cursor a la izquierda para editar una palabra, aparecía este clip diciendo "¿estás seguro que quieres moverte a la izquierda?" ;)

Seguridad de sistemas y análisis de código malicioso

La Universidad de Dallas, Texas, uno de los muchos cursos que ofrece es llamado: System Security and Malicious Code Analysis (Seguridad de sistemas y análisis de código malicioso). Éste no es uno de esos cursos que se han puesto de moda últimamente que puedes tomar online. Aunque no hay disponibles ni vídeo ni audio, sí que están disponibles las diapositivas usadas en el mismo. Después de un echar un vistazo rápido, me han parecido muy completas en interesantes. Además en la web de dicho curso también podemos encontrar una muy buena lista de enlaces a información externa, muchos de ellos son literatura propia sobre el tema.

Moviendo personajes de Quake en 50 líneas de javascript

Usando el plugin tQuery.md2Character el cual incluye un suelo tipo ajedrez, niebla para marcar la profundidad, teclado para moverlo y por supuesto permite abrir los formatos de los personajes de DOOM y Quake, MD2 (puedes encontrar todos tus personajes favoritos de las sagas en este formato para jugar con ellos en planet-quake ó sitters-electronics).

HTML Examples, ejemplos de código HTML

266px-HTML_svg (Imagen Wikipedia)

A estas alturas ya todos conocéis en más o menos profundidad el lenguaje de marcado HTML (base de todas las páginas web de Internet), pero nunca viene mal tener a mano una web donde nos muestren ejemplos de código fuente más frecuentes (como enlaces, imágenes, formateo de texto, etc) y el resultado de su ejecución.

En la web de w3schools.com, puedes encontrar este genial enlace llamado HTML Examples, en el cual puedes ver una gran variedad de ejemplos que pasamos a listar:

Haz click abajo para ver el listado completo de ejemplos que nos ofrecen:

Zero day: exploit crítico que afecta al RDP de Windows (todas las versiones)

Antes de nada, si administras (o utilizas) equipos con Windows (cualquier versión), bájate esta actualización de Microsoft MS12-020.

Avisan de una vulnerabilidad de ejecución de código en el protocolo RDP.

Este es parte del texto del boletín:

"Una vulnerabilidad de ejecución de código existe en la manera en la que RDP accede a un objeto en memoria que ha sido inicializado de forma impropia o eliminado. Un atacante el cual pudiera explotar esta vulnerabilidad podría ejecutar código en el equipo atacado. Podría entonces instalar programas, ver, cambiar o borrar datos, crear nuevas cuentas, etc."

Analizando las técnicas SEO a nivel de programador

Este buen artículo llamado "What every Programmer Should Know About SEO" no debes perdértelo si quieres profundizar en el funcionamiento de las técnicas SEO pero explicado para programadores y así comprender mejor y poder optimizar dichas técnicas en nuestro sitio web (mejorar su posicionamiento para los buscadores).

Explica el funcionamiento básico de los motores de búsqueda para luego dar algunos consejos, como por ejemplo estar seguro que tu sitio es "crawable" (que un robot pueda perfectamente analizar la página web), usar las palabras correctas en los lugares correctos del código, evitar contenido duplicado, usar descripciones "meta" de forma inteligente, etc.

Tutor online de Python

Este tutor online de Python (del MIT) te permite escribir el código directamente en la web para luego analizar su ejecución al detalle. Esto es genial para analizar como se comporta paso a paso el programa que has creado en Python, visualizando variables y su contenido, la memoria, saltos, etc.

Viene con varios ejemplos ya creados como las famosas Torres de Hanoi.

Soporta Python 2.5 (de momento, anuncian que en breve soportará Python 3).

Cómo imprimir tu logo en un código QR

How-To sencillo de HackADay donde se explica cómo insertar el logo que quieras dentro de un código QR, voy a intentar traducirlo y explicarlo un poco. En concreto para la versión 6 de un código QR (41 pixels alto y ancho). Estos códigos tienen esta plantilla base (sobre ella construimos el nuestro propio, echa un vistazo a la ISO 18004 donde están las especificaciones técnicas del código QR):

El color negro será siempre negro, los pixeles en blanco serán blancos, los rojos son zona donde no debes tocar y la parte gris es donde podemos hacer lo que queramos. La línea discontinua de colores blanco/negro arriba y a la izquierda se llaman "timming pattern" (patron de sincronización). Cada bit blanco/negro divide toda la cuadrícula en filas y columnas.

Cómo escribir un sencillo servidor TCP en Haskell

Desde la fantástica página catonmat nos explican cómo programar en Haskell un servidor TCP sencillo (aquí puedes descargar el código fuente). Este servidor TCP sólo escucha en el puerto que le pasamos como parámetro y puede ejecutar también algunos comandos simples.

Una buena forma de adentrarte en la programación del lenguaje Haskell (aquí info en Wikipedia).

Colección de trucos avanzados de programación Javascript

(pulsa aquí para ver en grande la Cheat Sheet de Javascript)

Pequeños y útiles programas realizando todo tipo de operaciones en Javascript.

Algunos ejemplos:

Append an array to another array
Milliseconds since epoch
Simulate threads using yield operator
prefix an integer with zeros
shuffle the Array
multi-line text
Escape and unescape HTML entities
Remove an object from an array
... y muchos más

No te lo pierdas, seguro que hay alguna que hace falta, es una buena referencia para el programador.

Visto en HackersNews y aquí el post original, de Google Code.

Programando la física del movimiento (con ejemplos)

Excelente artículo llamado "Physics engines for dummies" donde aprenderemos, con unos conocimientos básicos de matemáticas y geometría, a programar todo tipo movimientos, colisiones, etc.

El artículo tiene unos ejemplos bastante didácticos, y te explica la teoría completa (a partir de aquí ya podrías programarlo tú mismo en el lenguaje que quieras) y nos muestra parte del código/pseudocódigo (si quieres el código fuente de todos los ejemplos tenemos que comprarlo por 5,99$, en Actionscript 3.0).

Rosetta Code

Rosetta Code es un proyecto cuya finalidad es albergar la solución a problemas conocidos, escritos en distintos (cuantos más mejor) lenguajes de programación.

Esto quiere decir que es un repositorio de código fuente enorme. En el momento de escribir estas líneas hospedan 488 problemas y un total de 369 lenguajes de programación usados para resolver dichos problemas (esto no quiere decir que todos los problemas están solucionados en los 369 lenguajes).

The truth about Malware and Linux (Kaspersky Lab)

(Recuerda activar los subtítulos usando “cc” en el video)

CERT Secure Coding

CERT o Computer Emergency Response Team, tienen un subdominio exclusivamente dedicado a la programación segura.

En el mismo, podemos encontrar buenas prácticas de programación que nos ayudarán con la ardua tarea de escribir código lo más seguro posible.

Esto no es un recurso nada nuevo, pero lo van actualizando de forma periódica y nunca viene mal un pequeño recordatorio.

Ahora mismo disponemos de información sobre:

C (Versión Japonés) o si lo prefieres lo tienes también impreso.
C++
Java

Parece ser que hace tiempo empezaron a trabajar en C#, pero por ahora no hay nada publicado al respecto.

También tienen otro libro donde acaparan tanto C como C++.

Un virus en tu hardware

Hace unos meses, en Octubre de 2010, leí un artículo de la fantástica revista Investigación y Ciencia, en concreto su número 409, un artículo llamado “Microchips piratas” donde se explicaba una nueva vulnerabilidad en la seguridad informática basada en el diseño y fabricación de microchips.

Ya había oido algo sobre este problema, pero pensaba que la fabricación de un chip era algo seguro y un proceso de una sóla empresa, pero ahora entre la crisis y la globalización, parece que esto ha cambiado bastante. Antes sólo había algunas empresas muy especializadas en la creación, diseño y fabricación de microchips (Intel, AMD, etc.) pero ahora casi cualquier empresa puede fabricar su propio chip. Y además este proceso involucra a miles de personas, países y empresas repartidas por todo el mundo. Antes era un proceso seguro, ya que se realizaba única y exclusivamente dentro de las instalaciones del fabricante en un entorno controlado, tanto el diseño como la fabricación.

El código fuente de juegos para el Atari 2600 convertido en arte

(Imágen: Web de Ben Fry, creador de los murales)

He visto cuadros muchos más feos (y seguro que más caros) que estos impresionantes murales donde puedes ver el código máquina de juegos tan clásicos para el Atari 2600 como el Pac-Man, Pitfall, Q-Bert, Air Raid ó Adventure. Pero no sólo verás el código, también los gráficos y lo mejor de todo, una líneas que interconectan todo el programa indicando en cada momento qué instrucción se está ejecutando o qué gráfico se está cargando (básicamente todas las operaciones condicionales/incondicionales de salto).

Lamentablemente no puedes llegar a ver de forma detallada todas las instrucciones (tampoco lo veo necesario a no ser que tengas mucho tiempo) ya que todas se pueden comprar en esta web que tienen un tamaño de 33x48 centímetros donde sí que se ve bien todo el código.

Inyección de código SQL en los sistemas de tráfico

Cuando vi la foto por primera vez, me lo tomé con humor, pero después de meditar un poco esto podría ser perfectamente válido.

La regla de oro para evitar la inyección de SQL es limpiar los datos datos de entrada. Claro cuando un piensa en la entrada de datos, piensa en un usuario detrás de un teclado, aunque los datos no provengan directamente de un formulario, un usuario puede esnifar tráfico, modificarlo y reenviarlo, etc. Al final es un usuario detrás de un teclado.

45 Técnicas y herramientas útiles (y nuevas) para JavaScript y JQuery

En esta selección podrás encontrar desde calendarios, formularios, botones, navegación, debugging, optimización, etc. También algunos plugins JQuery para ayudarte a extender la funcionalidad de tu web y aumentar la experiencia del usuario con componentes preparados para usar o soluciones con código.

La última parte también ofrece recursos útiles para aprender, por ejemplo, a mejorar la compilación, técnicas de programación JavaScript, algunos frameworks de JavaScript, etc.

Todo en la fantástica SmashingMagazine.

Software Libre para la PYME

OpenPYME es un proyecto promovido por la Oficina de Software Libre de la Universidad de La Laguna, bajo el marco de colaboración científico-tecnológico entre la Agencia Canaria de Investigación, Innovación y Sociedad de la Información del Gobierno de Canarias y la Universidad de La Laguna. El objetivo fundamental del proyecto OpenPYME es acercar las herramientas TIC a las PYMEs para mejorar su gestión y competitividad incorporando, para ello, tecnología open source. Además, se pretende una activación de la demanda de asesoramiento especializado de empresas TIC.

Visto en Javahispano.

Cómo hacer un pequeño osciloscopio USB por 5€

Usa un Atmel Tiny45, tiene dos entradas analógicas y suministra 5V desde los cuatro pines que tiene a la derecha. No lleva oscilador, el software sincroniza con los 16.5Mhz del reloj del USB. El firmware en el Tiny45 está escrito en C y compilado con Winavr. La aplicación para visualizar la información, está hecho en Visual Studio 2005 y puedes descargar el código aquí.

Herramientas para programar animaciones y algunos ejemplos

Music Is Math from Glenn Marshall on Vimeo.

Si hacer una animación usando una aplicación ya es complicado imagina crearlas usando código de programación al estilo de la demoscene. El mérito es doble, hay que tener creatividad pero a la vez un dominio absoluto de las matemáticas y del lenguaje de programación que se utilice.

En este extenso y espectacular artículo de SmashingMagazine puedes encontrar ejemplos de animaciones creadas usando código, y también algunas aplicaciones gratuitas para crearlas como Processing ó NodeBox.

Hello World! en diferentes lenguajes de programación

Hello World! ó ¡Hola Mundo! es por tradición, el primer programa que escribes cuando empiezas en un nuevo lenguaje de programación. Es bastante interesante ver este código ya que es lo mínimo que puedes escribir en el lenguaje que estes usando y hacerte una idea inicial de la sintaxis y estructura del código.

Puede ser tan sencillo como este en BASIC:

PRINT "Hello World"

O este un poco más complicado en Ensamblador 8088 con masm:

Los 10 mandamientos para escribir buen código

programming

1.- DRY(Don´t Repeat Yourself). No te repitas a ti mismo. Intenta no repetir código. Hazlo abstracto de forma que puedas usar el mismo código en sitios distintos.

2.- Escribe métodos cortos. Tu código será más legible, fácil de probar y de reusar.

3.- Nombra tus clases, métodos y variables con sentido. De esta forma tu código será mucho más comprensible.

4.- Defina claramente la tarea de cada clase. Así conseguirás reducir el número de errores y la reutilización de dicha clase en otras partes de tu aplicación.

Ciudad Virtual creada sólo con código (programando)

No hay texturas ni nada por el estilo, sólo programación pura y dura.

Alucinante.

Echa un vistazo a la web del autor, donde te lo explica todo:

ShamusYoung

Visto en:

Microsiervos

Planetared